Professional Documents
Culture Documents
HỆ ĐIỀU HÀNH
MICROSOFT
WINDOWS SERVER
2003
CHƯƠNG 8: LÀM VIỆC VỚI TÀI KHOẢN MÁY TÍNH ...................................... 349
TÌM HIỂU ĐỐI TƯỢNG MÁY TÍNH (COMPUTER OBJECT) ............................. 350
BỔ SUNG THÊM MÁY TÍNH VÀO MIỀN ............................................................ 353
TẠO ĐỐI TƯỢNG MÁY TÍNH ............................................................................... 354
QUẢN LÝ CÁC ĐỐI TƯỢNG MÁY TÍNH............................................................. 369
KHẮC PHỤC SỰ CỐ TÀI KHOẢN MÁY TÍNH .................................................... 375
TỔNG KẾT ................................................................................................................ 378
BÀI TẬP THỰC HÀNH............................................................................................ 380
CÁC CÂU HỎI ÔN TẬP........................................................................................... 381
CÁC KỊCH BẢN TÌNH HUỐNG ............................................................................. 383
Tốc độ CPU tối thiểu 133 MHz 133 MHz 133 MHz 400 MHz
Tốc độ CPU nên dùng 550 MHz 550 MHz 733 MHz 733 MHz
RAM tối đa 2 GB 4 GB 32 GB 64 GB
Số bộ vi xử lí SMP
(Symmetric MultiProcessing) 2 4 8 32
Chế độ đồ họa:
Khi hệ thống khởi động lại lần hai, nó sử dụng các file khởi động và các file
của hệ điều hành, hiện đã nằm cố định trên đĩa hệ thống. Giao diện Windows
thân thiện xuất hiện lần đầu tiên, sử dụng trình điều khiển hiển thị VGA với
độ phân giải thấp. Sau khi hệ thống khởi động xong, quá trình đồ họa bắt
đầu bằng chu trình phát hiện phần cứng. Khi các phần cứng mới được phát
hiện, và trình điều khiển đã được cài đặt, chương trình bắt đầu thu thập
thông tin từ người dùng mà nó cần để hoàn thành quá trình cài đặt, đồng thời
nó sẽ cài đặt rất nhiều thành phần không thiết yếu khác của hệ thống. Nếu
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
15
GIỚI THIỆU HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
như card mạng được phát hiện, chương trình cài đặt sẽ cài các thành phần
mạng cần thiết và kết buộc chúng với trình điều khiển thiết bị mạng. Cuối
cùng, chương trình xây dựng Thực đơn Khởi động (Start Menu), thiết lập
các tham số bảo mật hệ thống, xóa các file tạm tạo ra trong quá trình cài đặt
và lưu cấu hình hệ thống lại trước khi khởi động lại lần cuối cùng.
4. Hệ thống sẽ nhắc bạn nhấn F2 nếu bạn muốn thực hiện thao tác Khôi
phục Hệ thống Tự động (Automated System Recovery - ASR). Không nhấn
F2 lúc này và quá trình cài đặt tiếp tục
LƯU Ý: Định vị các Trình điều khiển Thiết bị Lưu trữ. Nếu một
trình điều khiển của một thiết bị lưu trữ nào đó không nằm trong
Windows Server 2003, bạn phải chuẩn bị nó, khởi động lại quá trình
cài đặt và nhấn F6 để cung cấp chúng cho chương trình cài đặt.
5. Nếu bạn đang cài đặt phiên bản thử nghiệm của Windows Server 2003,
một màn hình nhắc nhở cài đặt (Setup Notification) sẽ thống báo cho bạn
biết điều đó. Đọc thông báo này và nhấn Enter để tiếp tục. Màn hình
Welcome To Setup (Chào mừng bạn đên với trình cài đặt) sẽ xuất hiện.
6. Đọc thông báo “Welcome To Setup” và nhấn Enter để tiếp tục, Màn hình
License Agreement (Thỏa thuận Bản quyền) xuất hiện.
7. Đọc thỏa thuận về bản quyền và nhấn F8 để chấp nhận. Một màn hình
xuất hiện liệt kê một danh sách các phân vùng trên các ổ cứng trong máy
tính cùng với các vùng không gian đĩa trống. Từ màn hình này, bạn có thể
tạo và xóa các phân vùng trên các đĩa cứng nếu cần. Nếu bạn trỏ vào lựa
8. Lựa chọn một không gian đĩa chưa phân vùng có dung lượng tối thiểu
4GB và nhấn C, đồng thời nhập vào kích thước phân vùng định tạo là 3072.
Sau đó nhấn Enter
9. Một màn hình xuất hiện, nhắc bạn lựa chọn hệ thống file sử dụng khi
định dạng phân vùng đã lựa chọn. Lựa chọn “Format The Partition Using
The NTFS File System” (Định dạng phân vùng sử dung hệ thống file NTFS)
và nhấn Enter.
Trình cài đặt sẽ định dạng phân vùng sử dụng NTFS, kiểm tra các lỗi vật lý
của đĩa cứng mà có thể gây ra sự cố khi cài đặt và bắt đầu chép các file từ
đĩa CD vào trong đĩa cứng. Quá trình này có thể chiếm của bạn vài phút.
10. Trình cài đặt sẽ khởi tạo cấu hình của Windows và sau đó hiển thị lên
màn hình một thanh trạng thái màu đỏ thể hiện số đếm giảm dần trong 15
Trình cài đặt Windows sẽ nạp và hiển thị một giao diện đồ họa cho phép
theo dõi các tiến trình cài đặt ở khung bên trái. Khi các tiến trình Collecting
Information (Thu thập thông tin), Dynamic Update (Cập nhật động) và
Preparing Installation (Chuẩn bị cài đặt) đều được lựa chọn, thể hiện rằng
các bước này đã hoàn thành. Tiến trình Collecting Information (Thu thập
thông tin) đã được hoàn thành trước khi giao diện đồ họa này xuất hiện và
tiến trình Dynamic Update (Cập nhật động) không được thực hiện khi
chúng ta cài đặt từ đĩa CD.
Tiến trình Preparing Installation (Chuẩn bị cài đặt) được thực hiện khi mà
trình cài đặt đã chép xong các file vào đĩa cứng. Bước cài đặt Windows bắt
đầu với quá trình phát hiện các phần cứng, quá trình này có thể diễn ra trong
vài phút. Không giống như chu trình phát hiện phần cứng khi ở chế độ văn
bản, trong đó nó nhận biết phần cứng bằng việc nạp các trình điều khiển và
sử dụng thử rồi phát hiện lỗi, quá trình này nhận biết chính xác các thành
phần trong máy tính, ghi thông tin về chúng vào registry, đồng thời cấu
hình sao cho hệ điều hành nạp các trình điều khiển chuẩn cho phần cứng đó.
Sau cùng, Windows Setup Wizard (Trình Hướng dẫn Cài đặt Windows) sẽ
được nạp và trang “Regional And Language Options” (Tùy chọn vùng và
ngôn ngữ) xuất hiện.
11. Chỉnh sửa các thiết lập mặc định về vùng và ngôn ngữ nếu cần thiết,
bằng cách nhấn chuột vào phím Customize hoặc Details. Sau đó nhấn Next.
Trang Personalize Your Software (Tùy biến phần mềm của bạn) xuất hiện.
12. Trong hộp thoại Name, nhập vào tên của bạn và trong hộp thoại
Organization, nhập vào tên của cơ quan rồi nhấn Next. Trang “Your
Product Key” (Khóa sản phẩm của bạn) xuất hiện.
13. Nhập vào các hộp thoại Product Key các thông số khóa của sản phẩm
đi kèm trong đĩa CD Windows Server 2003 và nhấn Next. Trang “Licensing
Modes” - (Các chế độ giấy phép) xuất hiện
14. Giữ nguyên giá trị mặc định là 5 ở trong mục “Per Server Number Of
Concurrent Connections” (Số lượng các kết nối đồng thời trên 1 máy chủ)
và nhấn Next. Trang “Computer Name And Administrator Password” -
(Tên máy tính và mật khẩu quản trị) xuất hiện.
LƯU Ý: Bản quyền Windows Server 2003. Nếu bạn sử dụng phiên
bản thử nghiệm của Windows Server 2003, giá trị mặc định 5 kết nối
đồng thời tới máy chủ là đủ để hoàn thành khóa học này. Tuy nhiên,
nếu bạn sử dụng một bản Windows Server 2003 có bản quyền, bạn
nên nhập vào một số lượng hợp lệ các kết nối đồng thời dựa trên
Giấy phép (license) mà bạn có.
15. Trong hộp thoại Computer Name, nhập vào Serverxx trong đó xx là số
thứ tự duy nhất mà giảng viên cung cấp cho bạn.
CẢNH BÁO: Tránh tình trạng trùng tên. Nếu máy tính của bạn kết
nối vào mạng LAN, kiểm tra với quản trị mạng trước khi nhập vào
tên cho máy tính của bạn
17. Nhập vào thời gian và ngày tháng chính xác đồng thời lựa chọn múi giờ
chuẩn cho khu vực của bạn. Sau đó nhận Next, màn hình “Network
Settings” (Thiết lập mạng) xuất hiện
18. Giữ nguyên lựa chọn mặc định “Typical Settings” và sau đó nhấn Next.
Trang “Workgroup Or Computer Domain” (Gia nhập miền hoặc nhóm)
xuất hiện.
19. Giữ nguyên lựa chọn mặc định “No” và tên nhóm mặc định là
“WORKGROUP” và nhấn Next.
Trình cài đặt sẽ cài và thiết lập các thành phần còn lại của hệ điều hành bằng
cách chép các file, cài đặt thực đơn Start, đăng kí các thành phần, lưu các
thiết lập và xóa các file tạm. Sau đó quá trình cài đặt kết thúc, máy tính tự
khởi động và màn hình “Welcome To Windows” (Chào mừng bạn đến với
Windows) xuất hiện.
Trong môi trường kinh doanh, ví dụ như một mạng doanh nghiệp lớn, quá
trình cài đặt hệ điều hành thường sẽ được thục hiện khác so với các thao tác
ở trên. Người quản trị mạng của một công ty lớn với rất nhiều máy tính
thường không có thời gian để thực hiện quá trình cài đặt thủ công và kéo dài
như trên đối với từng máy tính. Họ có thể sử dụng rất nhiều phương án để
thực hiện theo phương thức dây chuyền hoặc tự động hóa quá trình cài đặt
Windows Server 2003, bao gồm các phương pháp sau đây:
Hình 1-1: Trang Let’s Activate Windows trong Trình Hướng dẫn Kích
hoạt Windows
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
31
GIỚI THIỆU HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
LƯU Ý: Volume Licensing (Giấy phép khối). Nếu bạn có được bản
quyền Windows Server 2003 thông qua một chương trình Microsoft
volume licensing nào đó, bạn sẽ không phải kích hoạt bản quyền này.
Để kích hoạt Windows qua Internet, bạn phải kết nối máy tính với Internet
trước khi bạn có thể bắt đầu quá trình kích hoạt. Điều này có nghĩa là máy
tính được trang bị một modem và cấu hình để kết nối đến một nhà cung cấp
dịch vụ (ISP) hoặc cấu hình với một vài tham số TCP/IP (bao gồm địa chỉ
IP, Mặt nạ mạng con (Subnet Mask), máy chủ DNS và cổng ra (gateway)
mặc định) rồi kết nối đến mạng LAN mà có đường ra Internet. Nếu máy tính
không thể truy nhập Internet, bạn phải kích hoạt Windows bằng điện thoại
4. Xác nhận rằng các bước liệt kê trong trang này đã được hoàn thành và
sau đó nhấn Next. Sau một khoảng thời gian chờ khi trình này quét và kiểm
tra trên mạng, trang Server Role (Vai trò máy chủ) xuất hiện.
5. Lựa chọn Domain Controller (Active Directory) từ danh sách các vai trò
máy chủ và nhấn Next. Trang Summary Of Selections hiện ra.
6. Nhấn Next. Trình hướng dẫn cài đặt “Active Directory Installation
Wizard” được nạp.
8. Đọc các thông tin trong trang này và nhấn Next. Trang Domain
Controller Type (Kiểu máy chủ quản trị miền) hiện ra.
10. Giữ nguyên giá trị mặc định “Domain In A New Forest” (Miền trong
một rừng mới) được lựa chọn và nhấn Next. Trang New Domain Name (Tên
miền mới) xuất hiện.
11. Trong hộp thoại “Full DNS Name For New Domain” (Tên DNS đầy đủ
của miền mới), nhập vào đó: ACNAxx.com, trong đó xx là số mà giảng viên
cấp cho bạn, sau đó nhấn Next. Trang NetBIOS Domain Name (Tên miền
NetBIOS) xuất hiện.
13. Nhấn Next để chấp nhận vị trí mặc định của các thư mục chứa log và
CSDL. Trang “Shared System Volume” (Thư mục hệ thống được chia sẻ)
xuất hiện.
Tại thời điểm này, trình hướng dẫn sẽ thử kết nối đến các máy chủ DNS
được chỉ định trong phần cấu hình TCP/IP, để xác định liệu các máy chủ
DNS đó có chứa các bản ghi cần thiết cho quá trình cài đặt Miền sử dụng
Active Directory hay không.
15. Lựa chọn “Install And Configure The DNS Server On This Computer”
(Cài đặt và cấu hình máy chủ DNS trên máy tính này) và sau đó nhấn Next.
Trang Permissions (Cấp phép) xuất hiện
16. Nhấn Next để chấp nhận lựa chọn mặc định về quyền cấp phép và sau đó
nhấn Next. Trang “Directory Services Restore Mode Administrator
Password” (Mật khẩu tài khoản quản trị trong chế độ khôi phục dịch vụ thư
mục) xuất hiện
18. Xem lại toàn bộ các thông số mà bạn đã chọn và nhấn Next. Trình cài đặt
sẽ bắt đầu cài đặt các dịch vụ Active Directory và DNS Server.
19. Khi quá trình cấu hình hoàn thành xong, trang “Completing The Active
Directory Installation Wizard” (Hoàn thành quá trình cài đặt Active
Directory) xuất hiện. Nhấn Finish.
20. Một hộp thoại thông báo của trình cài đặt Active Directory Installation
Wizard xuất hiện, nhắc bạn khởi động lại máy tính. Nhấn Restart Now
21. Sau khi máy tính khởi động lại, bạn đăng nhập bằng tài khoản
Administrator. Trình hướng dẫn Configure Your Server Wizard lại xuất
hiện, hiển thị trang This Server Is Now A Domain Controller (Máy chủ này
bây giờ là một máy chủ quản trị miền).
Mặc dù dịch vụ thư mục Active Directory không phải là chủ đề chính trong
khóa học này, tuy nhiên một số khái niệm cơ bản về Active Directory là luôn
luôn cần thiết cho mọi cán bộ quản trị mạng Window Server 2003. Các
chương sau đây sẽ không bàn bạc về các chủ đề nâng cao như thiết kế Active
Directory hay quản trị schema, nhưng bạn sẽ sử dụng các công cụ quản trị
Active Directory cung cấp trong Windows Server 2003 và sẽ học cách thao
tác với các đặc tính của các đối tượng trong Active Directory, ví dụ như
người dùng, nhóm và máy tính.
LƯU Ý: Active Directory. Để học thêm về các chủ đề nâng cao
trong Active Directory, bạn có thể tham dự khóa học cho kỳ thi 70-
294: Planning, Implementing, and Maintaining a Microsoft
Windows Server 2003 Active Directory Infrastructure (Lập kế
hoạch, triển khai và duy trì một hệ thống Microsoft Windows Server
2003 Active Directory)
Hình 1-5: Một cấu trúc phân cấp OU trong Active Directory
Nhóm cũng là một đối tượng chứa, nhưng nó không phải là thành phần
của cấu trúc phân cấp bởi vì các thành viên của nhóm có thể nằm ở bất kì
đâu trong miền. Để thực hiện đúng chức năng tổ chức, các đối tượng chứa
đồng thời phải đóng vai trò quan trọng trong việc quản trị các đối tượng.
Trong một hệ thống file, các Cấp phép được áp dụng trên các đối tượng
được truyền từ trên xuống dưới trong cấu trúc phân cấp. ví dụ nếu bạn gán
cho một đối tượng OU có Cấp phép truy nhập một thư mục chia sẻ nào đó,
thì các đối tượng nằm trong OU đó sẽ được thừa hưởng các Cấp phép truy
nhập này. Đây là một trong những tính năng cơ bản trong cấu trúc phân cấp
mà người quản trị có thể áp dụng một cách hiệu quả. Thay vì gán các quyền
và cấp phép cho từng người dùng, người quản trị có thể gán các quyền và
cấp phép này cho các đối tượng chứa và các đối tượng người dùng trong nó
sẽ được thừa hưởng các Quyền và Cấp phép cần thiết.
TỔNG KẾT
• Windows Server 2003 có 4 phiên bản chính—Web Edition, Standard
Edition, Enterprise Edition và Datacenter Edition—chúng khác nhau
trong cách hỗ trợ phần cứng và các tính năng mà chúng cung cấp.
• Phiên bản Enterprise và Datacenter có các phiên bản riêng có thể sử
dụng với các nền phần cứng 64 bit cũng như 32 bit.
• Windows Server 2003 bản thương mại hay bản dùng thử đều yêu cầu
có khóa sản phẩm và bạn phải kích họat sản phẩm trong vòng 14 hoặc
30 ngày sau khi cài đặt.
• Trang “Manage Your Server” và Trình Hướng dẫn Cấu hình Máy chủ
(Configure Your Server Wizard) cho phép bạn có thể cấu hình máy
tính chạy Windows Server 2003 thực hiện các chức năng khác nhau.
• Active Directory là dịch vụ thư mục dựa trên miền, chứa các Đối
tượng mà bản thân các đối tượng này lại có một tập các thuộc tính của
chúng.
• Cấu trúc phân cấp của Active Directory được tạo bởi rừng, cây, miền
và OU. Quyền, Cấp phép và các Chính sách Nhóm sẽ được truyền
xuống theo cấu trúc phân cấp đó.
• Để cài đặt Active Directory, bạn thăng cấp một hay nhiều máy tính
chạy Windows Server 2003 thành máy chủ quản trị miền bằng cách sử
dụng trình cài đặt “Active Directory Installation Wizard”. Một máy
chủ quản trị miền sẽ chứa một bản của CSDL Active Directory và nó
sẽ chịu trách nhiệm cung cấp thông tin Active Directory đáp ứng các
yêu cầu của người dùng.
Bài tập thực hành 1-3: Xem các đối tượng Active Directory
Khi bạn tạo ra một Miền Active Directory, theo mặc định hệ điều hành sẽ
tạo ra một số đối tượng chứa và đối tượng lá (container và leaf objects). Để
xem thông tin về các đối tượng này, sử dụng các thao tác sau:
1. Đăng nhập vào máy chủ quản trị Miền bằng tài khoản Administrator
2. Nhấn Start, trỏ đến Administrative Tools và nhấn vào “Active
Directory Users And Computers” (Quản trị máy tính và người dùng
trong Active Directory). Cửa số “Active Directory Users And
Computers” xuất hiện.
3. Mở rộng biểu tượng miền ACNAxx.com trong ô bên trái và lựa chọn
OU Users bên trong domain đó. Các đối tượng người dùng và nhóm
trong OU Users xuất hiện trong ô bên phải.
Kịch bản 1-2: Lựa chọn phiên bản Windows Server 2003
Bạn đang có kế hoạch triển khai các máy tính Windows Server 2003 cho
một miền Active Directory mới trong một Tổng công ty lớn bao gồm rất
nhiều Active Directory tách biệt được các công ty con duy trì. Tổng công ty
quyết định sử dụng Exchange Server 2003 để xây dựng hệ thống truyền tin
thống nhất cho toàn bộ các chi nhánh và dự định sử dụng Microsoft
Metadirectory Services (MMS – Dịch vụ Siêu thư mục Microsoft) để đồng
bộ các thuộc tính của các đối tượng trên toàn hệ thống. Phiên bản Windows
Server 2003 nào sẽ cung cấp phương án hiệu quả nhất cho việc triển khai
này. Giải thích câu trả lời.
Hình 2-1: Bảng điều khiển “Active Directory Users and Computers”
Ba bảng điều khiển Active Directory liệt kê ở trên đều chứa các snap-in đơn
lẻ, nhưng một bảng điều khiển MMC không chỉ giới hạn sử dụng một snap-
in tại một thời điểm. Khi bạn mở bảng điều khiển “Computer Management”
(Quản trị Máy tính) trong nhóm chương trình Administrative Tools trên bất
cứ một máy tính Windows Server 2003 nào, bạn có thể thấy một bảng điều
khiển chứa rất nhiều snap-in, tất cả kết hợp trong một giao diện đơn, thuận
tiện như trong Hình 2-2
LƯU Ý: Tính tương thích của MMC. Bảng điều khiển MMC có thể
chạy trên các hệ điều hành Windows Server 2003, Windows XP,
Windows 2000, Windows NT 4 và Windows 98.
Hình 2-3: Thực đơn Action trong một bảng điều khiển MMC
Mặc dù thực đơn Action thay đổi thường xuyên, các thực đơn khác trong
MMC có thể chứa các thành phần ngữ cảnh xác định, điển hình là thực đơn
View, chứa các lệnh điều khiển cách thức snap-in hiển thị thông tin. Ví dụ
một số snap-in trong MMC theo mặc định chỉ hiển thị một phần các thông
tin có thể, tuy nhiên khi dòng lệnh Advanced Features (Các tính năng tiên
tiến) xuất hiện trên thực đơn View, việc lựa chọn lệnh này sẽ cho phép bảng
điều khiển hiển thị đầy đủ các thông tin (Như thể hiện trong Hình 2-4)
Hình 2-4: Bảng điều khiển “Active Directory Users and Computers” hiển
trị khi chọn Advanced Features
Hình 2-5: Một bảng điều khiển MMC với cửa sổ nổi
Bạn có thể tạo thêm các cửa sổ trong bảng điều khiển này bằng cách lựa
chọn New Window từ thực đơn Window. Điều này cho phép bạn tạo ra 2
cách xem khác nhau đối với một snap-in đơn hoặc cùng một lúc có thể làm
việc với hai snap-in khác nhau trong một bảng điều khiển (Như hiển thị
trong Hình 2-6). Bạn có thể lựa chọn một phần tử trong khung phạm vi và
lựa chọn lệnh New Window From Here (Cửa sổ mới từ đây) từ thực đơn
Action để tạo ra một cửa sổ mới trong đó phần tử vừa lựa chọn sẽ được nằm
ở mức gốc của bảng điều khiển.
khiển khác nhau. Các bảng điều khiển tùy chọn có thể chứa mọi snap-in của
Windows Server 2003, cho dù chúng đã được đưa vào hay không trong các
bảng điều khiển cấu hình sẵn, hay các snap-in của các phần mềm khác mà
bạn có.
File thực thi của MMC là mmc.exe. Khi bạn chạy file này từ hộp thoại Run
hoặc từ dấu nhắc dòng lệnh, một bảng điều khiển trống được tạo ra như thể
hiện trong hình 2-7. Đây là một bảng điều khiển không có snap-in nào cả và
khi đó các thực đơn và thanh công cụ sẽ có các chức năng mặc định của
MMC. Phần tử duy nhất trong cửa sổ bảng điều khiển là console root object
(đối tượng gốc của bảng điều khiển) nằm trong khung phạm vi, nó là một
khung chứa, thể hiện mức trên cùng của cấu trúc phân cấp trong bảng điều
khiển. Trước khi bạn có thể thực hiện bất kì một tác vụ quản trị nào bằng
bảng điều khiển này, bạn phải thêm một hoặc nhiều các snap-in vào trong
đó.
xuất hiện trong lớp đầu tiên, nằm trực tiếp dưới gốc của bảng điều
khiển trong khung phạm vi.
• Mở rộng (Extension): Các snap-in mở rộng cung cấp thêm tính năng
cho các snap-in đơn lẻ. Bạn không thể thêm một snap-in mở rộng vào
một bảng điều khiển mà trước đó chưa thêm snap-in đơn lẻ tương
ứng. Các snap-in mở rộng có thể xuất hiện ở dưới các snap-in đơn lẻ
tương ứng trong khung phạm vi của bảng điều khiển.
Một số snap-in sẽ cung cấp cho ta cả chức năng của một snap-in đơn lẻ và
mở rộng. Ví dụ snap-in Event Viewer (Xem sự kiện) được sử dụng để hiển
thị nội dung của các nhật kí sự kiện trong máy tính. Trong bảng điều khiển
Computer Management, snap-in Event Viewer xuất hiện như là một snap-in
mở rộng, nằm dưới đối tượng System Tools trong khung phạm vi, tuy nhiên
bạn có thể thêm snap-in Event Viewer vào một bảng điều khiển nào đó như
là một snap-in đơn lẻ và khi đó nó sẽ nằm ngay dưới gốc của bảng điều
khiển.
Để thêm các snap-in vào một bảng điều khiển tùy chọn, bạn lựa chọn
Add/Remove Snap-in (thêm/bớt Snap-in) từ thực đơn File để hiển thị hộp
thoại Add/Remove Snap-in (như thể hiện trong Hinh 2-8). Theo mặc định,
thẻ Standalone trong hộp thoại này được lựa chọn, bạn nhấn Add (thêm) để
hiển thị một danh sách các snap-in đơn lẻ có sẵn trong máy tính.
Bạn có thể lựa chọn và thêm vào bảng điều khiển bao nhiêu snap-in đơn lẻ
tùy thích. Sau khi bạn thêm các snap-in đơn lẻ vào, bạn có thể trỏ vào snap-
in đơn lẻ đó, lựa chọn thẻ Extensions để hiển thị một danh sách các snap-in
mở rộng gắn kèm với snap-in đơn lẻ mà bạn đã chọn (Thể hiện trong hình 2-
9). Sau khi bỏ đi dấu chọn trong ô “Add All Extensions”, bạn có thể lựa
chọn từng snap-in mở rộng mà bạn muốn thêm vào bảng điều khiển này. Sử
dụng danh sách xổ xuông trong mục “Snap-in Added To”, bạn có thể chỉ
định snap-in mở rộng được thêm này sẽ nằm ngay dưới gốc của bảng điều
khiển hay ở dưới các phần tử khác trong cây.
Bạn có thể truy cập vào một máy tính ở xa sử dụng một MMC snap-in bằng
hai cách:
truy cập vào CSDL Active Directory tại đó, do đó không cần phải nhập vào
tên máy tính.
• “Logon setting” (Thiết lập đăng nhập): Cho phép bạn xác định các
thông số đăng nhập được sử dụng trong các kết nối đến máy chủ thay
cho các thông số đăng nhập do máy khách cung cấp.
• Sessions (Phiên làm việc): Chứa các thiết lập có quyền ưu tiên hơn
các thiết lập của máy khách, chỉ ra khi nào kết thúc một phiên kết nối,
giới hạn thời gian kết nối và thời gian nghỉ cho phép của phiên, đồng
thời chỉ ra có cho phép kết nối lại hay không.
• Environment (Môi trường): Phủ nhận các thiết lập của máy khách
và cấu hình trong User profile (Khái lược người dùng) để chạy một
chương trình nào đó khi kết nối đến máy chủ.
• Remote Control (Điều khiển từ xa): Chỉ ra khả năng điều khiển từ
xa của phiên làm việc “Remote Desktop Connection” có thực hiện
được hay không và nếu được thì liệu người dùng có bắt buộc phải gán
các quyền khi khởi tạo một phiên làm việc từ xa hay không. Các thiết
lập phụ thêm có thể hạn chế phiên làm việc từ xa chỉ cho phép xem
hoặc cho phép toàn quyền tương tác với hệ thống.
• Client Settíng (Các thiết lập với máy khách): Phủ nhận các thiết lập
trên máy khách về căn chỉnh độ sâu màu sắc và việc ánh xạ các tài
nguyên.
• Network Adapter (card mạng): Xác định card mạng nào trên máy
chủ có thể tiếp nhận các kết nối “Remote Desktop for
Administration”
• Permissions (Cấp phép): Xác định các quyền được cấp của các kết
nối Remote Desktop.
Cài đặt và Cấu hình Remote Desktop Connection (Kết nối tới
Màn hình Từ xa)
Một máy tính khi tạo kết nối đến máy chủ Remote Desktop, nó phải chạy
một chương trình có tên “Remote Desktop Connection”. Chương trình máy
khách này được cài đặt theo mặc định trong hệ điều hành Windows Server
2003 và Windows XP, tuy nhiên nó còn có thể chạy trên bất kì phiên bản
Windows 32 bit nào. Windows Server 2003 có các file cài đặt của Remote
Desktop Connection trong đĩa CD cài đặt đồng thời nó còn được chép vào
trong thư mục Systemroot\System32\Clients\Tsclient\Win32. Bạn có thể cài
đặt phần mềm máy khách này trên bất kì một máy tính nào từ cả hai bộ cài
này bằng cách sử dụng các thao tác sau:
• Từ đĩa CD: Cho đĩa CD cài đặt Windows Server 2003 vào trong ổ.
Khi màn hình Welcome to Microsoft Windows Server 2003 xuất hiện,
nhấn vào liên kết “Perform Additional Tasks” (thực hiện các tác vụ
khác) và chọn “Set Up Remote Desktop Connection” (Cài đặt Kết nối
Màn hình Từ xa”. Làm theo các chỉ thị hiển thị trên màn hình của
Trình Hướng dẫn Cài đặt Kết nối Màn hình Từ xa (Remote Desktop
Connection” – InstallShield Wizard)
• Từ trên mạng: Tạo một thư mục chia sẻ từ thư mục
Systemroot\System32\Clients\Tsclient\Win32. Kết nối đến thư mục
chia sẻ này từ máy tính khách và chạy file Setup.exe. Làm theo các
chỉ thị hiển thị trên màn hình của trình hướng dẫn “Remote Desktop
Connection – InstallShield Wizard”
HƯỚNG DẪN NHANH Cập nhật Máy khách: Bạn nên nâng cấp
các máy tính chạy các phiên bản trước của dịch vụ Terminal máy
khách bằng phiên bản mới nhất của “Remote Destop Connection”
để nhận được các tính năng ưu việt của nó như: Giao diện người
dùng được sửa lại, Mã hóa 128 bit, và Lựa chọn Cổng Thay thế,
Khi chương trình đã được cài đặt, bạn có thể kết nối đến máy chủ bằng cách
chạy chương trình thông qua shortcut “Remote Desktop Connection” trong
thực đơn Start và cấu hình máy khách thông qua hộp thoại “Remote
Desktop Connection”. Các thẻ trong hộp thoại này cho phép bạn cấu hình
các tham số máy khách như sau:
LƯU Ý: Xem các lựa chọn máy khách: Nhấn chuột vào nút
Options (các lựa chọn)để hiển thị toàn bộ hộp thoại “Remote
Desktop Connection”
• General (Tổng quan): Cho phép bạn xác định máy khách này kết nối
đến máy chủ nào, các thông số mà máy khách sử dụng để đăng nhập
và liệu có lưu các thiết lập cấu hình cho kết nối này hay không.
• Display (Hiển thị): Cho phép bạn xác định kích thước của cửa sổ
Remote Desktop, độ sâu màu và liệu các thanh kết nối có xuất hiện
hay không trong chế độ toàn màn hình.
• Local Resource (Tài nguyên nội bộ): Cho phép bạn cấu hình liệu có
truyền các tín hiệu âm thanh trên máy chủ đến máy khách hay không,
cách thức kết hợp phím của Windows thể hiện trên máy ở xa như thế
nào và liệu đĩa cứng, máy in và kết nối bằng cổng serial có gắn vào
phiên làm việc từ xa này không. Ví dụ lựa chọn Disk Drives sẽ cho
phép các đĩa cứng trên máy khách sẽ xuất hiện trong phiên kết nối
Remote Desktop như là các đĩa cứng cục bộ của máy chủ
• Programs (Chương trình): Cho phép bạn xác định tên và thư mục
khởi đầu cho một ứng dụng sẽ được nạp ngay khi kết nối từ xa được
thiết lập.
• Experience (Kinh nghiệm): Cho phép bạn xác định tốc độ của kết
nôi giữa máy khách và máy chủ và vô hiệu hóa một số thuộc tính của
màn hình hiển thị để tăng băng thông kết nối và tăng khả năng giao
tiếp giữa máy khách và máy chủ.
• Kết nối mạng hỏng: Với bất kì ứng dụng nào dựa trên kết nối máy
chủ/máy khách, các sự cố thường do trục trặc đường kết nối mạng, ví
dụ như các thiết lập cấu hình của TCP/IP không đúng, trục trặc trong
vấn đề phân giải tên DNS, vấn đề định tuyến hoặc phần cứng mạng
họat động không tốt. Bạn có thể kiểm tra các kết nối mạng bằng cách
xem các ứng dụng mạng khác có hoạt động tốt hay không, thử kết nối
sử dụng IP thay vì dùng tên DNS và xem các người dùng khác có bị
hiện tượng tương tự hay không. Kiểm tra các thiết lập TCP/IP trên các
máy chủ và máy khách xem có chính xác chưa, kiểm tra máy chủ
DNS có hoạt động tốt không và các phần cứng mạng có trục trặc gì
không.
• Các thiết lập cổng: Terminal Services sử dụng cổng TCP và UDP
3389 cho tất cả các kết nối giữa máy chủ và máy khách theo mặc
định. Nếu hoặc máy chủ hay máy khách được cấu hình sử dụng các
cổng khác nhau hoặc nếu vì một lý do nào đó cổng này bị chặn lại (Ví
dụ như Tường lửa), kết nối giữa máy chủ và máy khách sẽ không thực
hiện được.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-81-
--
QUẢN TRỊ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
• Các thông số cấp phép (Credential): người dùng phải thuộc nhóm
Administrators hoặc “Remote Desktop Users” để có thể kết nối đến
các máy chủ bằng “Remote Desktop for Administration”. Hơn nữa,
bạn có thể chặn các kết nối từ một người dùng xác định bằng cách
kích họat quyền người dùng “Deny Logon Through Terminal
Services” (Từ chói Truy cập thông qua Dịch vụ Dầu cuối) trong chính
sách bảo mật nội bộ hoặc sử dung chính sách nhóm (GP).
• Số lượng các kết nối: Nếu phiên làm việc người dùng bị ngắt khi
người dùng chưa log off, máy chủ có thể coi kết nối đó vẫn mở và
điều này có thể dẫn tới việc đạt đến giới hạn kết nối mặc dù có không
quá hai người đang kết nối tại thời điểm đó. “Remote Desktop for
Administration” cho phép tối đa hai kết nối tại cùng một thời điểm.
xem các hoạt động trên máy tính, đồng thời xác định thời gian có hiệu
lực của lời đề nghị giúp đỡ từ xa.
• Sử dụng Chính sách nhóm: Sử dụng bảng điều khiển “Group Policy
Object Editor” (gpedit.msc) để mở một GPO của một miền hoặc một
OU chứa các máy khách. Duyệt đến mục Computer
Configuration\Administrative Templates\System\Remote Assistance
và kích hoạt chính sách “Solicited Remote Assistance” (Thu hút các
hỗ trợ từ xa). Chính sách này sẽ cho phép bạn có thể xác định mức độ
điều khiển của chuyên gia trên máy khách, khoảng thời gian hiệu lực
của lời đề nghị giúp đỡ và phương pháp gửi thư đề nghị. Chính sách
“Offer Remote Assistance” (Đề xuất Hỗ trợ Từ xa) cho phép bạn xác
định tên người dùng hoặc nhóm được gọi là chuyên gia và liệu các
chuyên gia này có thể thực hiện các tác vụ trên máy khách hay chỉ
quan sát theo dõi máy khách mà thôi.
tâm trợ giúp và hỗ trợ) và nhấn vào liên kết “Remote Assistance” để hiển thị
màn hình như Hình 2-16:
Hình 1-17: Trang Remote Assistance trong Help And Support Center
HƯỚNG DẪN NHANH Sử dụng mật khẩu. Khi người dùng tạo
ra một lời đề nghị, họ có thể chỉ định mật khẩu mà chuyên gia sẽ
phải sử dụng để kết nối đến máy tính của họ. Bạn nên yêu cầu người
dùng luôn luôn sử dụng mật khẩu trong các kết nối Remote
Assistance và hướng dẫn họ cách cung cấp mật khẩu này cho các
chuyên gia sử dụng một phương thức truyền thông khác với phương
thức họ sử dụng khi gửi lời đề nghị này đi.
Chuyên gia khi nhận được lời đề nghị có thể tham gia vào việc trự giúp bằng
cách chạy ứng dụng Remote Assistance, ứng dụng này cho phép chuyên gia
kết nối đến máy tính ở xa như hình 2-18. Sử dụng giao diện này, người dùng
và chuyên gia có thể nói chuyện hoặc nhắn tin cho nhau và theo mặc định,
chuyên gia có thể nhìn thấy mọi thứ, mọi cử chỉ của người dùng đang thực
hiện trên máy tính của họ. Nếu máy trạm ở xa được cấu hình cho phép điều
khiển từ xa, chuyên gia có thể nhấn vào nút “Take Control” và thực hiện các
thao tác điều khiển máy tính này.
quyền truy cập. Bạn không thể sử dụng Remote Assistance để kết nối
đến một máy tính mà không có ai cho phép.
• Client-site Control (Điều khiển tại máy khách): Các máy khách
luôn là người có quyền quyết định cuối cùng trên một kết nối Remote
Assistance. Máy khách hoàn toàn có thể ngắt kết nối bất kì lúc nào
bằng cách nhấn phím ESC hoặc nhấn vào Stop Control (ESC) trong
trang Remote Assistance hiển thị trên máy khách.
• Remote Control Configuration (Cấu hình điều khiển từ xa): Sử
dụng hộp thoại System Properties hoặc các chính sách nhóm trợ giúp
từ xa (Remote Assistance Group Policy), người dùng và người quản
trị có thể xác định liệu chuyên gia có được phép điều khiển máy khách
hay không. Một chuyên gia khi chỉ có quyền đọc sẽ không có khả
năng chỉnh sửa cấu hình máy tính khi sử dụng Remote Assistance.
Các chính sách nhóm cũng có thể cho phép người quản trị có quyền
chỉ định người dùng nào được coi là chuyên gia và không một người
dùng nào khác có thể sử dụng Remote Assistance để kết nối đến máy
khách mặc dù có đủ quyền trên máy đó.
• Firewalls (Tường lửa): Remote Assistance sử dụng cổng 3389 trong
giao thức TCP khi truyền thông trên mạng. Khi các hệ thống mạng sử
dụng Remote Assistance nội bộ và có kết nối đến Internet, người quản
trị mạng nên chặn cổng này trên tường lửa để ngăn cản người dùng
bên ngoài mạng có thể nắm quyền điều khiển máy tính thông qua các
đề nghị hỗ trợ từ xa bằng Remote Assistance. Tuy vậy, chúng ta hoàn
toàn có thể cung cấp khả năng hỗ trợ từ xa đến các máy khách thông
qua Internet khi mở cổng 3389 này.
LƯU Ý: Sử dụng Windows Messenger. Nếu bạn muốn sử dụng
Windows Messenger để gửi lời đề nghị Remote Assistance, bạn phải
mở cổng 1863 để cho phép ứng dụng Windows Messenger có thể
truyền thông.
TỔNG KẾT
• “Microsoft Management Console” là công cụ quản trị hệ thống chính
dành cho Windows Server 2003
• MMC là một ứng dụng lớp vỏ mà bạn sử dụng để chạy các snap-in, đó
là các công cụ riêng biệt được nạp vào trong MMC
• Có hai loại snap-in: Stand-Alone (Đơn lẻ) và Extention (Mở rộng)
trong đó cách thức hiển thị và chức năng của loại mở rộng trong
MMC sẽ tùy thuộc vào ngữ cảnh.
• Một số snap-in có thể sử dụng với cả máy tính tại chỗ và ở xa, một số
thì chỉ giới hạn trong các máy tính tại chỗ.
• Bảng điều khiển MMC có thể lưu ở chế độ Tác giả (Author Mode),
cho phép người dùng có toàn quyền với cấu hình của bảng điều khiển
hoặc Chế độ Người dùng (User Mode), cho phép giới hạn các quyền
truy cập.
• “Remote Desktop for Administration” cho phép bạn quản trị một máy
chủ ở xa như là bạn đăng nhập vào máy chủ đó tại chỗ đó với vai trò
quản trị.
• Remote Assistance là một sự trợ giúp có tính chất thỏa thuận: Người
dùng đề nghị chuyên gia giúp đỡ hoặc chuyên gia, nếu được cấu hình
thông qua chính sách nhóm, có thể khởi tạo một phiên hỗ trợ. Trong
các trường hợp khác, người sử dụng phải chấp nhận thiết lập kết nối
và luôn luôn ở trong trạng thái điều khiển phiên hỗ trợ này. Không
bao giờ chuyên gia có thể nắm quyền điều khiển máy tính mà người
dùng không được thông báo.
• “Remote Desktop Connection” là thành phần mặc định của Windows
XP và Windows Server 2003, có thể cài đặt trên bất kì hệ điều hành
Windows 32 bit nào từ đĩa CD cài đặt Windows Server 2003 (hoặc
sau khi chia sẻ thư mục) hoặc từ bất kỳ máy tính Windows Server
2003 nào.
• Cả hai tính năng “Remote Desktop for Administration” và Remote
Assistance đều sử dụng Dịch vụ Đầu cuối (Terminal Services) để
truyền thông, nhưng không bao giờ yêu cầu một giấy phép Terminal
Services đặc biệt nào.
Bài tập thực hành 2-2: Tạo một bảng điều khiển MMC tùy
chọn
Trong bài tập thực hành này, bạn sẽ tạo một bảng điều khiển MMC tùy chọn
mới
1. Nhấn Start và sau đó chọn Run. Hộp thoại Run xuất hiện
2. Trong hộp văn bản Open, nhập vào mmc và nhấn OK. Một cửa sổ có
tên Console1 xuất hiện
3. Từ thực đơn File, lựa chọn “Add/Remove Snap-in”. Hộp thoại
“Add/Remove Snap-in” xuất hiện
4. Nhấn Add. Hộp thoại “Standalone Snap-in” xuất hiện
5. Trong danh sách “Available Standalone Snap-in”, lựa chọn “Device
Manager” và nhấn Add. Hộp thoại “Device Manager” xuất hiện
6. Nhấn Finish để chấp nhận các thiết lập mặc định và nhấn Close sau
đó nhấn OK. Snap-in “Device Manager” xuất hiện trong ô phạm vi
(scope pane) của bảng điều khiển
7. Từ thực đơn File, lựa chọn “Save as” và sau đó lưu bảng điều khiển
trong thư mục mặc định “Administrative Tools” với tên là
DevMgr.msc.
Bài tập thực hành 2-3: Kích hoạt Remote Desktop for
Administration
Trong bài tập thực hành này, bạn cấu hình máy khách chấp nhận các kết nối
Remote Desktop
1. Nhấn Start, trỏ vào “Control Panel” và lựa chọn System. Hộp thoại
“System Properties” xuất hiện
2. Lựa chọn thẻ Remote và sau đó chọn “Allow Users To Connect
Remotely To This Computer”
3. Nhấn OK
Bạn đã kiểm tra thiết lập trên máy chủ và xác nhận các điều sau đây:
1. Bạn là thành viên của nhóm Remote Desktop Users
2. Bạn không phải là thành viên của nhóm Administrators
3. Bạn có khả năng kết nối đến một thư mục chia sẻ trên máy chủ
Terminal và máy tính này có phản hồi với lệnh ping.
Thiết lập nào mà bạn phải kiểm tra trên máy chủ Terminal để giải quyết sự
cố này ?
hồ trong một khoảng thời gian nhất định. Giám sát hiệu năng bộ vi xử
lý thông thường sẽ kiểm tra mức độ hoạt động của bộ vi xử lý khi nó
thực hiện các tác vụ thường lệ. Nếu việc sử dụng chu kì đồng hồ của
bộ vi xử lý luôn đạt đến 100%, hiệu năng hệ thống có thể đang quá tải
do không đủ năng lực xử lý.
• Bộ nhớ: Bộ nhớ truy cập ngẫu nhiên (RAM) là một không gian lưu
trữ tạm thời mà một máy tính sử dụng như một vùng đệm cho dữ liệu
đi từ và đến bộ vi xử lý. Khi không đủ bộ nhớ RAM sẵn sàng để hoàn
thành các tác vụ cụ thể nào đó, Windows sử dụng không gian đĩa cứng
thay cho RAM trong một tiến trình gọi là paging (phân trang). Bởi vì
truy cập các đĩa cứng chậm hơn rất nhiều so với truy cập RAM nên
hiệu năng hệ thống sẽ giảm khi có quá nhiều việc phân trang diễn ra.
Giám sát hiệu năng bộ nhớ là một công việc quan trọng đảm bảo máy
tính có đủ bộ nhớ để hoàn thành các tác vụ chuyên biệt của nó.
• Đĩa cứng: Các đĩa cứng trong máy tính cung cấp khả năng lưu trữ lâu
dài cho hệ điều hành và các file ứng dụng, cũng như các dữ liệu sử
dụng và tạo ra bởi các ứng dụng. Giám sát hiệu năng của phân hệ đĩa
cứng thông thường sẽ phải kiểm tra số lượng các yêu cầu truy cập đĩa
cứng đang đợi để xử lý tại một thời điểm cụ thể. Nếu một lượng lớn
các dữ liệu đang đợi để đọc hoặc ghi vào đĩa, hiệu năng nói chung của
máy tính có thể là đang quá tải.
• Mạng: Giám sát phân hệ mạng có sự khác biệt đôi chút so với 3 phân
hệ trên bởi vì hiệu năng của mạng có thể bị ảnh hưởng bởi các yếu tố
bên ngoài cũng như bên trong. Một lượng lớn các yêu cầu truyền
thông qua mạng được xếp hàng có thể làm giảm hiệu năng hệ thống,
điều này có thể được các người dùng trên mạng cảm nhận, mặc dù bản
thân máy tính vẫn hoạt động hoàn hảo.
Xác định phân hệ nào trong máy tính yêu cầu giám sát kĩ càng hơn phụ
thuộc vào các ứng dụng mà máy tính này đang chạy. Các ứng dụng khác
nhau yêu cầu hiệu năng của các phân hệ ở các mức khác nhau và một sự cố
với một phân hệ nhất định nào đó có thể có các tác động khác nhau đối với
các ứng dụng khác nhau.
dụng của bộ vi xử lý là 100%, bạn không có cách nào biết được liệu nó đã
luôn như vậy hay là có sự thay đổi nào gần đây tác động đến hiệu năng của
bộ vi xử lý này.
Do các nguyên nhân trên, một trong những phần quan trọng nhất trong việc
giám sát hiệu năng máy chủ là thiết lập đường cơ sở cho các mức hiệu năng
hệ thống mà bạn có thể tham khảo sau này. Đó là lý do tại sao phần giới
thiệu của chương này chỉ ra rằng bạn nên học cách sử dụng các công cụ
giám sát trước khi mọi thứ có thể hư hỏng. Một đường cơ sở là một tập hợp
của các mức hiệu năng khi máy tính hoạt động một cách bình thường, tốt
nhất là ngay sau khi nó được cài đặt và cấu hình đầy đủ. Bằng cách so sánh
các mức sau này với đường cơ sở, bạn có thể xác định liệu hiệu năng của các
phân hệ này đang bị suy giảm hay không. Bạn sẽ học thêm về cách tạo các
đường cơ sở trong phần sau của chương này và thảo luận về rất nhiều công
cụ giám sát có trong Windows Server 2003.
được ghi lại trong nhật ký Hệ thống. Các kiểu sự kiện ghi được trong
nhật ký này được hệ điều hành cấu hình trước và không thể thay đổi
được. Đây là các nhật ký cơ bản của Windows Server 2003 và bạn nên
luôn luôn xem các nhật ký này đầu tiên khi bạn tìm kiếm thông tin về
một sự cố hệ thống nào đó.
• Bảo mật: Có thể chứa các thông tin về các sự kiện liên quan đến bảo
mật, ví dụ như không đăng nhập thành công, các truy cập đến các tài
nguyên được bảo vệ (Ví dụ như các thư mục chia sẻ hoặc file hệ
thống) và sự thành công hoặc thất bại của các sự kiện được kiểm định
(audit). Windows Server 2003, trong cấu hình mặc định của nó, không
ghi thông tin trong nhật ký Bảo mật. Các sự kiện ghi lại trong nhật ký
này được xác định bởi các chính sách kiểm định mà bạn có thể kích
hoạt bằng các Chính sách Cục bộ của Máy tính (Local Computer
Policy) hoặc các Chính sách Nhóm (Group Policy). Theo mặc định,
chỉ có các thành viên của nhóm Administrators mới có khả năng xem
các nhật ký này.
tượng không thể cùng tồn tại hoặc các sự kiện quan trọng trong thư
mục.
• Dịch vụ đồng bộ file (File Replication Service): Chứa các thông tin
về sự thành công hoặc thất bại của các hoạt động đồng bộ xảy ra giữa
các máy chủ quản trị miền.
Cuối cùng, khi máy tính được cài đặt dịch vụ Microsoft DNS Server, Event
Viewer có chứa thêm nhật ký:
• DNS Server: Chứa các thông tin về tình trạng và hoạt động của dịch
vụ DNS Server
Mặc dù Event Viewer chứa các nhật ký quan trọng nhất của Windows
Server 2003 nhưng nó không chứa tất cả. Một số lượng lớn các dịch vụ có
trong hệ điều hành sẽ duy trì các nhật ký riêng của nó. Trong hầu hết các
trường hợp, các nhật ký này là các file văn bản đơn giản mà bạn có thể mở
bằng bất kì trình soạn thảo văn bản nào, ví dụ như ứng dụng Windows
Notepad.
Một số các nhật ký riêng lẻ bạn có thể tim thấy trên máy tính chạy hệ điều
hành Windows Server 2003 như sau:
• Kiểm định DHCP
• Dr. Watson (Các lỗi của chương trình)
• Các hoạt động Fax
• Internet Connection Firewall (ICF – Tường lửa cho các Kết nối
Internet)
• Microsoft Internet Information Services (IIS – Dịch vụ Thông tin
Internet của Microsoft)
• Các máy khách của Windows Media Services
• Các giao dịch CSDL trong WINS (Dịch vụ Chuyển đổi Tên Internet)
Bảng 3-1. Hiển nhiên, các báo lỗi và các cảnh báo là những kiểu sự kiện có
ý nghĩa nhất đối với một người quản trị mạng bởi vì chúng thể hiện rằng các
sự cố quan trọng đang xảy ra.
Bảng 3-1: Các kiểu sự kiện trong Windows 2000
Kiểu sự kiện Biểu tượng Mô tả
Một sự cố có ý nghĩa quan trọng, ví dụ như
Lỗi
mất dữ liệu hoặc sai chức năng
Một sự kiện có thể không có ý nghĩa nhưng
Cảnh báo
có thể thể hiện một sự cố trong tương lai
Một sự kiện mô tả hoạt động thành công của
Thông tin
một ứng dụng, trình điều khiển hoặc dịch vụ
Kiểm định Một truy cập bảo mật thành công được kiểm
thành công định
Kiểm định Một truy cập bảo mật thất bại được kiểm
thất bại định
Nhấn đúp vào một sự kiện trong khung khung Chi tiết của Event Viewer sẽ
hiển thị hộp thoại thuộc tính của sự kiện đó. Như thể hiện trong Hình 3-2.
Hộp thoại này chứa một hoặc nhiều thông tin về sự kiện, bao gồm:
• Date (Ngày): Ngày sự kiện đó diễn ra
• Time (Thời gian): Thời gian sự kiện đó diễn ra
• Type (Kiểu): Kiểu sự kiện diễn ra (Lỗi, cảnh báo, thông tin, kiểm
định thành công hoặc kiểm định thất bại)
• User (Người dùng): Tên của người dùng liên quan đến tiến trình sinh
ra sự kiện này
• Computer (Máy tính): Tên của máy tính trên đó sự kiện này xảy ra.
• Source (Nguồn): Module phần mềm sinh ra sự kiện này
• Category (Hạng mục): Sự phân loại của sự kiện này, được định
nghĩa bởi tiến trình nguồn
• Event ID (Mã số của sự kiện): Một giá trị đơn nhất để nhận biết sự
kiện cụ thể này.
• Description (Mô tả): Một thông báo văn bản mô tả bản chất của sự
kiện, được tạo ra bởi tiến trình nguồn
• Data (Dữ liệu): Dữ liệu nhị phân sinh ra bởi sự kiện
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-98-
GIÁM SÁT HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
Hình 3-3: Thẻ General trong hộp thoại Properties của nhật ký sự kiện
Hệ thống
Các thiết lập mặc định cho các nhật ký sự kiện trong một máy chủ quản trị
miền Windows Server 2003 chạy dịch vụ Microsoft DNS Server thể hiện
trong Bảng 3-2. Các nhật ký của dịch vụ thư mục và đồng bộ file có kích
thước tối đa rất nhỏ (512K) bởi vì các mục vào của nhật ký này là tương đối
hiếm. Nhật ký Hệ thống, tuy vậy, lại có kích thước tối đa vô cùng lớn (128
MB). Điều này xẩy ra khi máy tính được thăng cấp thành một máy chủ quản
trị miền và một phần của việc cấu hình mặc định cho máy chủ quản trị miền
Windows Server 2003 là kích hoạt một số chính sách kiểm định, điều này
gây ra một số lượng lớn các sự kiện được ghi vào trong nhật ký Hệ thống.
Trong khi đó, giá trị tối đa mặc định cho nhật ký Bảo mật trong một máy
tính Windows Server 2003 mà không phải máy chủ quản trị miền là 16MB
Bảng 3-2: Các thiết lập mặc định duy trì nhật ký sự kiện
File Replication
512 KB Overwrite events as needed
Service
131,072 KB (128
Security Overwrite events as needed
MB)
LƯU Ý: Cấu hình các thiết lập duy trì sử dụng các chính sách
nhóm. Ngoài cách cấu hình các thiết lập duy trì cho các nhật ký sự
kiện một cách thủ công bằng cách sử dụng snap-in Event Viewer,
bạn còn có thể cấu hình các tham số tương tự cho các nhật ký Ứng
dụng, Hệ thống và Bảo mật bằng cách kích hoạt các chính sách
nhóm Event Log trong đối tượng chính sách nhóm (GPO) và áp
dụng nó vào các máy tính riêng lẻ hoặc vào một đối tượng chứa
trong Active Directory.
Trên một máy chủ quản trị miền, việc để thiết lập mặc định Overwrite
Events As Needed trong nhật ký Bảo mật có thể dẫn đến việc các dữ liệu
liên quan đến vấn đề bảo mật hoặc các truy cập tài nguyên quan trọng sẽ bị
ghi đè nếu người quản trị không thường xuyên lưu các mục trong nhật ký lại.
Để đảm bảo các nhật ký Bảo mật không bị mất, Windows Server 2003 có
một biện pháp mạnh dưới hình thức một chính sách nhóm cho lựa chọn bảo
mật gọi là Audit: Shut Down System Immediately If Unable To Log
Security Audits (Kiểm định: Tắt hệ thống ngay lập tức nếu không thể ghi
nhật ký kiểm định Bảo mật).
Hình 3-4: Thẻ Filter trong hộp thoại Properties của nhật ký sự kiện
Để kiểm tra các mục đặc biệt trong danh sách các sự kiện, bạn có thể lựa
chọn lệnh Find từ thực đơn View để hiển thị hộp thoại Find (Thể hiện trong
Hình 3-5)
Cả hai hộp thoại trong Thẻ Filter và Find đều cho phép bạn lựa chọn từ các
danh sách sự kiện tiêu biểu trong “Các kiểu sự kiện Windows 2000” đã nói
đến trong chương trước, để định vị các mục đặc biệt.
các mục vào và khi đó bạn có thể xóa các nhật ký này. Lưu nhật ký thường
xuyên đều đặn để đảm bảo rằng các file nhật ký không tăng trưởng quá lớn
và gây ra mất mát dữ liệu.
Khi bạn nhấn phải chuột vào một ứng dụng trong danh sách và lựa chọn Go
To Process từ thực đơn ngữ cảnh, hộp thoại chuyển sang thẻ Processes và
trỏ vào tiến trình liên quan đến ứng dụng đó. Đây là một tính năng hữu ích
khi bạn đang muốn tìm xem tiến trình của một ứng dụng đặc biệt nào đó khi
tên của tiến trình khó có thể đoán bằng trực giác.
Khi bạn nhấn vào phím New Task, một hộp thoại Create New Task (tạo tác
vụ mới) xuất hiện, trong đó bạn có thể nhập vào hoặc duyệt đến tên của bất
kì một file chạy hoặc lệnh chuẩn nào đó. Hộp thoại này có chức năng tương
tự như hộp thoại Run mà có thể truy cập từ thực đơn Start.
• End Proccess Tree (Kết thúc cây tiến trình): Dừng mọi tiến trình và
các tiến trình con hoặc tiến trình liên quan ngay lập tức. Mọi dữ liệu
chưa lưu sẽ bị mất.
• Debug (Gỡ lỗi): Tạo ra một trường hợp ngoại lệ để ngắt tiến trình và
gắn nó với một trình gỡ lỗi được cài đặt trong hệ thống.
CẢNH BÁO: Thao tác với các tiến trình. Thay đổi các thiết lập của
một tiến trình ví dụ như mức ưu tiên hay mối liên hệ với bộ vi xử lý
có thể gây ra những tác động có hại đến hiệu năng của các ứng
dụng khác trong hệ thống. Kết thúc một tiến trình và đặc biệt là một
cây tiến trình chỉ nên làm khi các thao tác thông thường để kết thúc
tiến trình đó là không thực hiện được. Windows Server 2003 có cơ
chế bảo vệ các tiến trình của hệ điều hành không bị ngắt bởi Task
Manager, tuy nhiên chúng vẫn có thể dễ bị ảnh hưởng bởi sự thiếu
tài nguyên hệ thống do việc điều chỉnh mức ưu tiên của các tiến
trình khác gây ra.
snap-in khác vào trong bảng điều khiển tùy chọn. Theo mặc định, Bảng điều
khiển Performance sẽ giám sát máy tính hiện tại, tuy nhiên bạn có thể cấu
hình snap-in này để giám sát hiệu năng của bất kỳ máy tính nào trong mạng
nếu như bạn có các quyền thích hợp.
THÔNG TIN THÊM. Sử dụng các Snap-in trong MMC. Để có
thêm thông tin về việc tạo ra các bảng điều khiển MMC, xem
Chương 2 trong cuốn sách này.
LƯU Ý. Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 là học
viên phải có khả năng “giám sát hiệu năng hệ thống”
Hình 3-12: Màn hình hiển thị System Monitor theo mặc định
• Processor(_Total): % Processor Time (Bộ vi xử lý: % Thời gian
của Bộ vi xử lý). Phần trăm của thời gian trôi qua mà bộ vi xử lý tiêu
tốn để thực hiện một chuỗi lệnh liên tục (non-idle thread). Biến đếm
này là thông số chủ yếu thể hiện họat động của bộ vi xử lý và hiển thị
trung bình phần trăm thời gian bận ghi được trong một khoảng thời
gian lấy mẫu nhất định.
Hình 3-13: Một đồ thị System Monitor với biến đếm (counter) được tô
sáng
Nếu máy tính của bạn đang trong trạng thái nghỉ, bạn có thể lưu ý rằng các
đường kẻ trong đồ thị mặc định sẽ nằm lơ lửng gần đáy của thang chia độ và
sẽ khó khăn để nhìn thấy được các giá trị của chúng. Bạn có thể giải quyết
vấn đề này bằng cách chỉnh sửa thang chia độ trong trục y (trục tung). Nhấn
vào phím Properties trên thanh công cụ (hoặc nhấn Ctrl+Q) để hiển thị hộp
thoại System Monitor Properties, sau đó lựa chọn thẻ Graph (Thể hiện
trong Hình 3-14). Trong hộp Vertical Scale, bạn có thể giảm giá trị tối đa
của trục y, đều này sẽ dẫn đến việc ta sẽ có một đồ thị rộng hơn để hiển thị
các dữ liệu của biến đếm
Hình 3-14: Thẻ Graph của hộp thoại System Monitor Properties
Trong thẻ General của hộp thoại System Monitor Properties, bạn còn có thể
chỉnh sửa tần suất lấy mẫu của đồ thị. Theo mặc định, đồ thị cập nhật các giá
trị của biến đếm sau mỗi 1 giây, tuy nhiên bạn có thể tăng giá trị này để hiển
thị dữ liệu trong khoảng thời gian lâu hơn trên một trang của đồ thị. Điều
này cho phép ta có thể dễ dàng phát hiện các xu hướng có tính chất lâu dài
trong các giá trị của biến đếm.
LƯU Ý. Chỉnh sửa thuộc tính của đồ thị. Hộp thoại System
Monitor Properties chứa một lượng lớn các điều khiển khác mà bạn
có thể sử dụng để chỉnh sửa cách hiển thị bề ngoài của đồ thị. Ví dụ,
trong thẻ Graph, bạn có thể thêm vào Tiêu đề của trục và các đường
kẻ lưới đồng thời trong thẻ Appearance, bạn có thể thay đổi màu
nền của đồ thị và lựa chọn các kiểu (font) chữ khác.
nhấn vào các phím View Histogram hoặc View Report trên thanh công cụ,
hoặc bằng cách nhấn Ctrl+B hay Ctrl+R. Để trở về cách xem đồ thị cũ, bạn
nhấn vào phím View Graph hoặc nhấn Ctrl+G.
Cách xem bằng Biểu đồ là một đồ thị bao gồm các thanh thẳng đứng cho
mỗi biến đếm, thể hiện trong Hình 3-15. Trong cách xem này, dễ dàng giám
sát một lượng lớn các biến đếm bởi vì các dòng kẻ không trùng đè lên nhau.
Hình 3-16: Cách xem bằng Báo cáo trong System Monitor
Cũng như cách dùng đồ thị, cách xem bằng Biểu đồ và Báo cáo đều cập nhật
các giá trị của biến đếm sau khoảng thời gian cố định được thiết lập trong
thẻ General của hộp thoại System Properties. Nhược điểm chính của hai
cách xem này là chúng không hiển thị giá trị trước của các biến đếm, chỉ
hiển thị giá trị hiện tại. Mỗi lần lấy mẫu mới sẽ ghi đè giá trị trước trên màn
hình hiển thị, không giống như kiểu Đồ thị dạng đường hiển thị cả các giá trị
trước đó.
Trong hộp thoại này, bạn phải chỉ rõ bốn mục thông tin sau đây để thêm một
biến đếm vào khung hiển thị.
• Computer (Máy tính). Tên của máy tính bạn muốn giám sát biến
đếm đã chọn. Không giống như các snap-in MMC khác, bạn không
thể chuyển hướng toàn bộ việc theo dõi của System Monitor vào một
máy tính khác trên mạng cùng lúc. Thay vào đó, bạn phải chỉ rõ tên
máy tính cho mỗi biến đếm mà bạn thêm vào khung hiển thị. Điều
này cho phép bạn tạo ra một khung hiển thị thể hiện các biến đếm cho
các máy tính khác nhau trong mạng, ví dụ một đồ thị đơn hiển thị các
hoạt động của bộ vi xử lý của tất cả các máy tính trên mạng.
• Performance object (Đối tượng cần đo hiệu năng). Là việc phân
loại đối tượng thể hiện các thành phần phần cứng và phần mềm riêng
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-119-
GIÁM SÁT HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
biệt trong máy tính. Mỗi đối tượng cần đo hiệu năng này chứa một số
các Biến đếm Hiệu năng liên quan đến các thành phần đó
• Performance counters (Biến đếm hiệu năng). Một biến số thể hiện
một khía cạnh đặc biệt nào đó trong các hoạt động của các
Performance object.
• Instance (Trường hợp riêng): Một phần tử thể hiện một trường hợp
riêng nhất định của Biến đếm Hiệu năng đã chọn. Ví dụ, trên một
máy tính có hai giao tiếp mạng, mỗi biến đếm trong đối tượng cần đo
hiệu năng Giao tiếp Mạng sẽ có hai instance, mỗi instance cho một
Giao tiếp, cho phép bạn theo dõi hiệu năng của mỗi cạc mạng riêng
biệt. Một số biến đếm cũng có một số instance như Tổng số hoặc
Trung bình, cho phép bạn theo dõi hiệu năng của tất cả mọi instance
kết hợp lại hoặc giá trị trung bình của các instance.
Khi bạn đã xác định tên một máy tính, một đối tượng cần đo hiệu năng, một
biến đếm hiệu năng và instance của đối tượng đó, nhấn vào Add để thêm
biến đếm này vào khung hiển thị. Hộp thoại vẫn còn mở để cho bạn có thể
thêm vào nhiều biến đếm khác nữa. Nhấn Close khi bạn đã hoàn thành công
việc thêm biến đếm hiệu năng.
LƯU Ý: Hiểu các biến đếm. Nhấn vào phím Explain sẽ mở ra một
hộp thông báo Explain Text chứa mô tả chi tiết về Biến đếm Hiệu
năng mà bạn lựa chọn.
Các Perfomance Object, Perfomance counter, và các instance xuất hiện
trong hộp thoại Add Counter tùy thuộc vào cấu hình phần cứng của máy
tính, phần mềm trên máy tính đó và vai trò của máy tính đó trong mạng. Ví
dụ, việc cài đặt dịch vụ DNS Server trên máy tính sẽ thêm vào Đõi tượng
cần đo Hiệu năng DNS, đối tượng này chứa một loạt các biến đếm để bạn
theo dõi các hoạt động của máy chủ DNS.
• Giới hạn số lượng của các biến đếm. Quá nhiều biến đếm sẽ dẫn tới
khung đồ họa trở nên khó hiểu đồng thời làm giảm đáng kể hiệu năng
của hệ thống. Để hiển thị một lượng lớn các thông số thống kê, bạn có
thể hiển thị nhiều màn hình cửa sổ trong bảng điều khiển và lựa chọn
các biến đếm khác nhau trong mỗi cửa sổ, hoặc sử dụng cách xem
Biểu đồ hoặc Báo cáo để hiển thị một số lượng lớn các biến đếm
trong một định dạng hiệu quả hơn (đồng nghĩa với việc bạn sẽ phải
hài lòng khi không xem được các giá trị trước đó như cách xem trong
đồ thị)
• Chỉnh sửa thuộc tính hiển thị của biến đếm. Tùy thuộc vào kích
thước và khả năng của màn hình của bạn, màu mặc định và độ rộng
của các đường sử dụng trong đồ thị của System Monitor có thể gây
khó khăn khi phân biệt các biến đếm. Trong thẻ Data của hộp thoại
System Monitor Properties của mỗi biến đếm, bạn có thể chỉnh sửa
màu sắc, kiểu và độ rộng của đường thể hiện biến đếm đó trong đồ thị
để dễ dàng phân biệt với các biến đếm khác.
• Lựa chọn biến đếm với các giá trị có thể so sánh được. System
Monitor chấp nhận không giới hạn sự kết hợp của của các biến đếm
bạn lựa chọn trong một đồ thị đơn, tuy nhiên một số thông số thống kê
sẽ không thể hiển thị cùng với nhau bởi vì các giá trị của chúng khác
hẳn nhau. Khi một đồ thị chứa một biến đếm có giá trị điển hình là
dưới 20 và một biến đếm khác có giá trị điển hình là hàng trăm, rất
khó có thể sắp xếp hiển thị các giá trị này để ta có thể đọc được cả hai
biến đếm cùng lúc. Lựa chọn các biến đếm có giá trị khác nhau không
đáng kể để bạn có thể hiển thị các giá trị đó cho dễ đọc. Hơn nữa, nếu
bạn muốn hiển thị các biến đếm với các khoảng giá trị khác nhau, bạn
có thể sử dụng cách xem bằng Báo cáo thay cho cách xem bằng Đồ
thị.
tiền bạc để nâng cấp mạng LAN của bạn từ 10Base-T thành 100Base-TX, hy
vọng có thể cải thiện được tình hình. Tuy nhiên nếu máy chủ của bạn là một
máy chủ cũ sử dụng các bộ vi xử lý Pentium thời đầu, sự cải thiện là không
đáng kể bởi vì rất có thể là do bộ vi xử lý máy chủ, chứ không phải công
nghệ mạng LAN, là nguyên nhân của hiện tượng nghẽn cổ chai. Mọi thành
phần khác có thể chạy tốt nhưng bộ vi xử lý không thể xử lý kịp với luồng
dữ liệu do hệ thống mạng mới và nhanh cung cấp được.
LƯU Ý: Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 là học
viên phải có khả năng “giám sát hiện tượng nghẽn cổ chai ở phần
cứng máy chủ” và “giám sát và tối ưu môi trường máy chủ cho hiệu
năng của ứng dụng” bằng cách giám sát các Đõi tượng cần đo Hiệu
năng như bộ nhớ, mạng, bộ vi xử lý và đĩa cứng.
Hiện tượng nghẽn cổ chai có thể xuất hiện do rất nhiều nguyên nhân như
sau:
• Tăng mức tải trên máy chủ. Một máy chủ có thể hoạt động tốt trong
một vai trò cụ thể nào đó lúc đầu, tuy nhiên sau khi bạn tăng mức tải
của máy chủ bằng cách thêm vào nhiều người dùng và nhiều tác vụ,
có thể nhận thấy các phần tử trong máy chủ không hoạt động tốt như
trước nữa. Ví dụ một máy chủ Web có thể là đủ dùng cho Web site
của công ty trong giai đoạn đầu, tuy nhiên sau khi công ty giới thiệu
thêm nhiều sản phẩm và lưu lượng dữ liệu đến site tăng lên gấp 3 lần.
Đột nhiên bạn nhận thấy hiệu năng của đĩa trên máy chủ Web là
không đủ để đáp ứng các lưu lượng dữ liệu tăng này.
• Lỗi Phần cứng. Lỗi Phần cứng không phải lúc nào cũng gây ra việc
ngừng hoạt động nghiêm trọng của hệ thống. Một phần tử nào đó có
thể hoạt động không đúng chức năng một cách không liên tục trong
một khoảng thời gian dài, gây nên việc giảm hiệu năng của máy chủ
một cách khó chịu. Ví dụ lỗi cáp mạng kết nối máy chủ đến thiết bị
switch/hub có thể gây nên việc lưu thông mạng thỉng thoảng bị ngắt
và làm giảm hiệu năng của máy chủ.
• Thay đổi vai trò của máy chủ. Các ứng dụng khác nhau yêu cầu các
tài nguyên khác nhau. Bạn có một máy tính thực hiện chức năng của
một máy chủ Web, tuy nhiên khi bạn thay đổi vai trò của máy chủ này
thành máy chủ CSDL, bạn có thể thấy bộ vi xử lý hoạt động không đủ
nhanh để chịu mức tải của ứng dụng mới trên nó.
Việc xác ddinhj vị trí nghẽn cổ chai gây ra việc giảm hiệu năng hệ thống là
một nhiệm vụ rất phức tạp, nhưng giám sát các Biến đếm Hiệu năng một
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-123-
GIÁM SÁT HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
cách hợp lý trong System Monitor là một cách tốt để bắt đầu nhiệm vụ này.
Trong rất nhiều trường hợp, nguyên nhân của hiện tượng này có thể thu hẹp
về bốn phân hệ chính liệt kê ở phần đầu của chương (Bộ vi xử lý, bộ nhớ,
đĩa cứng và mạng)
Khi bạn giám sát các mức hiệu năng máy chủ, tốt nhất là nên bắt đầu từ trên
xuống dưới-có nghĩa là bạn bắt đầu với việc giám sát bao quát toàn bộ cấu
hình của mỗi phân hệ để xác định một phân hệ nào có khả năng gây ra sự cố
nhất. Khi bạn đã xác định được vùng gây sự cố tổng quát, bạn có thể nhìn
sâu hơn vào từng dịch vụ và ứng dụng sử dụng phân hệ đó nhiều nhất và
thậm chí xem cả mức giao thức và luồng nếu cần. Thông thường, sự cố gây
ra bởi một ứng dụng hoặc thiết bị, hoặc thiếu tài nguyên trong hệ thống. Một
thiết bị đơn có thể được cấu hình lại hoặc thay thế và các tài nguyên chung
có thể được tăng cường (ví dụ bằng cách thêm nhiều bộ nhớ RAM hoặc
thêm bộ vi xử lý) một cách thích hợp.
Các mục sau đây sẽ thảo luận về các vấn đề cần tìm hiểu và các Biến đếm
Hiệu năng được sử dụng để giám sát mỗi phân hệ trong bốn phân hệ trên.
• Server Work Queues: Queue Length (Hàng đợi công việc của máy
chủ:Độ dài hàng đợi). Chỉ ra số lượng yêu cầu đang nằm đợi để sử
dụng một bộ vi xử lý nào đó. Giá trị này càng thấp càng tốt và thông
thường dưới 4 là chấp nhận được. Nếu giá trị này luôn giữ ở mức cao,
nâng cấp bộ vi xử lý hoặc thêm một bộ vi xử lý khác.
• Processor: Interrupts/sec (Bộ vi xử lý:Ngắt/giây). Chỉ ra số lượng
các ngắt phần cứng mà vi xử lý phục vụ tính theo giây. Giá trị này có
thể biến đối rất lớn và có ý nghĩa chỉ trong mối tương quan với mức
đường cơ sở được thiết lập trước đó. Một thiết bị phần cứng sinh ra
nhiều ngắt có thể độc quyền chiếm bộ vi xử lý, ngăn cản bộ vi xử lý
phục vụ các tác vụ khác. Nếu giá trị này tăng một cách nhanh chóng,
kiểm tra các thành phần phần cứng khác nhau trong hệ thống để xác
định thành phần nào sinh ra quá nhiều ngắt.
nhận được. Biến đếm này bao gồm cả lỗi nhẹ (trong đó trang yêu cầu
có thể tìm thấy đâu đó trong bộ nhớ) và lỗi nặng (trong đó trang yêu
cầu buộc phải truy cập từ đĩa cứng). Các lỗi nhẹ sinh ra không phải là
một vấn đề lớn, tuy nhiên các lỗi nặng có thể gây ra trễ đáng kể vì
truy cập đĩa cứng chậm hơn rất nhiều so với truy cập bộ nhớ. Nếu giá
trị này quá lớn, bạn nên kiểm tra xem hệ thống có đang phải chịu quá
nhiều lỗi nặng bằng cách sử dụng Biến đếm Memory: Pages/Sec. Nếu
số lượng lỗi nặng là quá nhiều, bạn nên xem xét tiến trình nào gây nên
việc phân trang quá nhiều hoặc cài đặt thêm bộ nhớ RAM cho hệ
thống.
• Memory: Pages/Sec (Bộ nhớ:Trang /giây). Chỉ ra số lượng trang dữ
liệu trên giây không nằm trong RAM và phải truy cập từ đĩa hoặc phải
ghi lên đĩa để tạo không gian trống cho RAM. Giá trị này càng thấp
càng tốt và thông thường dưới 20 là có thể chấp nhận được. Nếu giá
trị này quá cao, bạn nên xem xét tiến trình nào gây nên sự phân trang
quá nhiều hoặc cài đặt thêm RAM cho hệ thống.
• Memory: Available Bytes (Bộ nhớ:Các byte trống). Chỉ ra dung
lượng bộ nhớ vật lý còn trống tính theo Byte. (Còn có các biến đếm
khác hiển thị cùng loại giá trị này nhưng được tính theo kilobyte hoặc
megabyte). Giá trị này càng cao càng tốt và không nên dưới 5% của
tổng số bộ nhớ RAM trong hệ thống, việc bộ nhớ còn trống còn quá ít
có thể là biểu hiện của bộ nhớ đang bị rò rỉ. Nếu giá trị này quá thấp,
xem xét việc thêm RAM cho hệ thống.
• Memory: Committed Bytes (Bộ nhớ: Các Byte đã cam kết ). Cho
biết dung lượng bộ nhớ ảo có khoảng không gian được dự trữ trên tệp
phân trang. Giá trị này nên càng thấp càng tốt và nên luôn giữ thấp
hơn dung lượng RAM vật lý có trong hệ thống. Giá trị này quá lớn
cho thấy có thể có sự rò rỉ bộ nhớ và bạn nên xem xét việc thêm RAM
cho hệ thống
• Memory: Pool Non-Paged Bytes (Bộ nhớ: các byte của vùng
không phân trang). Cho biết kích thước của vùng trong bộ nhớ được
sử dụng bởi hệ điều hành cho các đối tượng mà không thể ghi vào
trong đĩa. Giá trị này nên là một số ổn định và không tăng trưởng khi
không có thêm các hoạt động của máy chủ. Nếu giá trị này tăng theo
thời gian, điều đó thể hiện có thể hệ thống đang bị rò rỉ bộ nhớ.
Phân hệ đĩa cứng bị quá tải khi đọc và ghi lệnh có thể làm giảm tỷ lệ máy
chủ xử lý các yêu cầu của máy khách. Các đĩa cứng trong máy chủ chứa một
lượng lớn các dữ liệu vật lý hơn bất kì một phân hệ nào do phải đáp ứng các
yêu cầu I/O của rất nhiều máy khách, đầu đọc đĩa cứng phải di chuyển liên
tục tới các vị trí khác nhau trên vùng đĩa phẳng. Kĩ thuật mà đầu đọc di
chuyển là rất nhanh, tuy nhiên một khi đĩa đạt đến tốc độ đọc/ghi tối đa, các
yêu cầu thêm nữa có thể bắt đầu gây ra sự chèn ép trong hàng đợi xử lý. Đối
với lý do này, phân hệ lưu trữ là một phần tử cần quan tâm hàng đầu khi có
nghẽn cổ chai.
• PhysicalDisk: Disk Bytes/sec (Đĩa vật lý:Byte/giây). Cho biết số
byte trung bình được chuyển đến hoặc ra khỏi đĩa trong mỗi giây. Giá
trị này nên tương ứng với mức thiết lập trong đường cơ sở ban đầu
hoặc cao hơn. Việc giá trị này giảm đi cho thấy trục trặc trong đĩa
cứng thậm chí có thể là hỏng. Nếu trường hợp này xảy ra, xem xét
việc nâng cấp phân hệ đĩa lưu trữ.
• PhysicalDisk: Avg. Disk Bytes/Transfer (Đĩa vật lý: byte trung
bình /Giao dịch). Cho biết số byte trung bình được chuyển vận trong
quá trình vận hành đọc và ghi. Giá trị này nên tương ứng với mức
thiết lập trong đường cơ sở ban đầu hoặc cao hơn. Việc giá trị này
giảm đi cho thấy trục trặc trong đĩa cứng thậm chí có thể là hỏng. Nếu
trường hợp này xảy ra, xem xét việc nâng cấp phân hệ đĩa lưu trữ.
• PhysicalDisk: Current Disk Queue Length (Độ dài hàng đợi đĩa
hiện tại). Cho biết số lượng yêu cầu đọc hoặc ghi đĩa đang tồn đọng.
Giá trị này nên càng thấp càng tốt, với mức thông thường thấp hơn 2
là có thể chấp nhận được trên 1 trục quay đĩa. Giá trị biến đếm này mà
lớn có thể cho thấy đĩa cứng đang trục trặc hoặc nó không có khả
năng đáp ứng các yêu cầu đối với nó. Trong trường hợp này, bạn nên
xem xét việc nâng cấp phân hệ đĩa lưu trữ
• PhysicalDisk: % Disk Time (Đĩa cứng:Phần trăm thời gian đĩa).
Cho biết phần trăm thời gian mà đĩa cứng bận. Giá trị này càng thấp
càng tốt và thông thường dưới 80% là chấp nhận được. Giá trị của
biến đếm này cao chứng tỏ rằng hoạt động của đĩa đang trục trặc, hoặc
nó không có khả năng theo kịp các yêu cầu đối với nó, hoặc trục trặc
trong bộ nhớ gây nên việc phân trang đĩa quá nhiều. Kiểm tra việc bộ
nhớ rò rỉ hoặc các vấn đề liên quan và nếu không có lỗi nào tìm thấy,
bạn nên xem xét việc nâng cấp phân hệ đĩa lưu trữ.
• LogicalDisk: % Free Space (Đĩa logic:%Đĩa trống). Cho biết phần
trăm đĩa trống trên đĩa cứng. Giá trị này càng lớn càng tốt, thông
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-127-
GIÁM SÁT HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
thường lớn hơn 20% là chấp nhận được. Nếu giá trị này quá thấp, bạn
nên thêm đĩa cứng.
Hầu hết các sự cố trong phân hệ đĩa cứng, khi khồng phải do phần cứng trục
trặc gây ra, đều dẫn đến kết quả là phải nâng cấp hệ thống lưu trữ. Việc nâng
cấp này có thể bao gồm các phương pháp sau đây:
• Cài đặt các đĩa cứng mới nhanh hơn
• Cài đặt thêm đĩa cứng và phân chia dữ liệu trên các đĩa đó, giảm truy
cập I/O trên mỗi đĩa
• Thay thế các đĩa đơn bằng các dãy đĩa RAID (Redundant Array of
Independent Disks – Dãy các đĩa độc lập dư thừa)
• Thêm nhiều đĩa vào trong dãy đĩa RAID sẵn có
Băng thông của các kết nối mạng giới hạn lưu lượng đến máy chủ thông qua
các giao tiếp mạng. Nếu giá trị của các biến đếm này cho biết rằng mạng
đang bị nghẽn, có hai cách để nâng cấp mạng và không có cách nào là đơn
giản cả:
• Tăng tốc độ của mạng. Điều này có nghĩa là thay thế tất cả các giao
tiếp mạng trong mọi máy tính, hub, router và các thiết bị khác trên
mạng và có thể thay thế cả cáp mạng.
• Cài đặt thêm thiết bị giao tiếp mạng trong máy chủ và tái phân bố
lại mạng. Nếu lưu lượng dữ liệu thường xuyên làm ngập tràn giao
tiếp mạng trên máy chủ, chỉ có một cách để tăng cường băng thông
mạng mà không cần tăng tốc độ mạng là cài đặt thêm các giao tiếp
mạng. Tuy nhiên, việc kết nối thêm các giao tiếp trong cùng một
mạng sẽ không cho phép tải được nhiều lưu lượng mạng hơn đến máy
chủ. Thay vào đó, bạn phải tạo thêm các subnet (mạng con) trên mạng
và tái phân bố các máy tính vào trong mạng con đó, do đó sẽ có ít lưu
lượng mạng hơn trong mỗi subnet.
thực hiện một hành động xác định khi biến đếm đó đạt đến giá trị giới
hạn nào đó.
Một trong những lợi ích chính của Performance Logs and Alerts là cho
phép bạn chụp các thông tin về hiệu năng của các biến đếm để nghiên cứu
về sau. Snap-in này hỗ trợ rất nhiều định dạng file cho phép bạn lưu các
thông tin chụp được vào các chương trình bảng và CSDL. Bạn có thể sử
dụng nhật ký các biến đếm để thiêt lập một đường cơ sở cho hiệu năng hệ
thống và sau đó đều đặn kiểm tra các nhật ký này để xem sai lệch so với
đường cơ sở chuẩn là bao nhiêu. Bạn còn có thể tạo ra các cảnh báo để báo
động cho bạn biết khi tình trạng mạng sai lệch quá nhiều so với trạng thái
thông thường.
LƯU Ý: Ghi nhật ký tự động. Performance Logs and Alerts chạy
như một dịch vụ, điều này có nghĩa là bạn có thể cấu hình snap-in
này để giám sát các biến đếm hiệu năng nhất định. Dịch vụ này sẽ
được nạp trong quá trình hệ thống khởi động và tiếp tục hoạt động
thậm chí cả khi không có người dùng nào đăng nhập vào hệ thống.
• Log file type (Kiểu file nhật ký). Định dạng file nhật ký mà bạn
muốn sử dụng cho nhật ký biến đếm và thư mục mà bạn muốn lưu.
Bạn có thể lưu nhật ký này như một file văn bản có phân cách các
trường dữ liệu bằng dấu phẩy hoặc dấu cách (tab), một file nhị phân
dạng thông thường hoặc dạng lặp vòng (có thể xem trong System
Monitor), hoặc một file CSDL trong SQL. Bạn còn có thể chỉ ra kích
thước tối đa của file nhật ký và cách tạo tên của file tự động.
LƯU Ý: Sử dụng file lặp vòng. Môt file lặp vòng nhị phân là file
trong đó snap-in liên lục ghi các thông tin vào cùng một file và ghi
đè các dữ liệu cũ nhất mà nó đã từng ghi trước đó.
• Scheduling information (Các thông tin lập lịch). Bạn có thể cấu
hình nhật ký biến đếm khởi động và dừng tại các thời điểm ngày và
giờ xác định hoặc bạn có thể lựa chọn khởi động hoặc dừng quá trình
ghi nhật ký một cách thủ công từ snap-in.
• Close Command (Lệnh khi đóng). Cho phép bạn chỉ định lệnh mà
snap-in phải chạy khi file nhật ký được đóng lại.
Hình 3-18: Hộp thoại cấu hình nhật ký biến đếm (Counter Log)
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
-132-
GIÁM SÁT HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
Khi bạn cấu hình nhật ký biến đếm, nó xuất hiện trong khung Phạm vi của
snap-in với một biểu tượng, màu của biểu tượng thể hiện trạng thái hiện tại
của nhật ký. Một biểu tượng màu đỏ có nghĩa là đang dừng và màu xanh có
nghĩa là đang chạy.
Khi bạn lựa chọn lưu một nhật ký biến đếm thành một file nhị phân, nó sẽ
xuất hiện trong thư mục đích như một file có phần mở rộng .blg. Để mở một
trong các file này và xem nội dung của nó, bạn vào snap-in System Monitor
và nhấn vào thanh công cụ View Log Data hoặc nhấn Ctrl+L. Trong hộp
thoại System Monitor Properties (Thể hiện trong Hình 3-20), bạn phải cấu
hình các thành phần sau đây:
• Nguồn dữ liệu. Trong Thẻ Source, nhấn vào tùy chọn Log Files và
lựa chọn file nhật ký mà bạn muốn hiển thị.
• Khoảng thời gian. Trong thẻ Source, nhấn vào phím Time Range để
hiển thị một thanh trượt chứa khoảng thời gian mà dữ liệu được chụp
vào trong nhật ký. Bạn có thể sử dụng thanh trượt này để lựa chọn tất
cả hoặc một phần của nhật ký để hiển thị.
• Biến đếm. Trong thẻ Data, nhấn vào Add và lựa chọn các biến đếm
mà bạn muốn hiển thị. Trong trường hợp này, hộp thoại Add Counter
chỉ chứa các Đõi tượng cần đo Hiệu năng và Biến đếm Hiệu năng mà
bạn đã từng chọn ghi lại trong nhật ký.
Hình 3-20: Hộp thoại System Monitor Properties được cấu hình để hiển
thị một file nhật ký
Khi bạn nhấn vào OK để đóng hộp thoại này lại, đồ thị dạng đường trong
System Monitor hiển thị các dữ liệu đã được ghi trong nhật ký. Bạn có thể
thực hiện thao tác cấu hình cách hiển thị trong đồ thị cũng giống như cách
mà bạn làm khi màn hình hiển thị các hoạt động hiện tại trong hệ thống.
• Các thông tin lập lịch. Bạn có thể cấu hình snap-in khởi động và
dừng khi giám sát các biến đếm đã lựa chọn tại các thời điểm ngày
giờ cụ thể hoặc bạn có thể lựa chọn khởi động hoặc dừng tiến trình
giám sát thủ công từ snap-in.
TỔNG KẾT
• Event Viewer là một snap-in MMC hiển thị các nhật ký đựoc máy
tính duy trì. Mọi máy tính Windows Server 2003 đều có các nhật ký
Ứng dụng, Bảo mật và Hệ thống; máy chủ quản trị miền còn có thêm
hai nhật ký cho Dịch vụ Thư mục và Dịch vụ đồng bộ File và máy chủ
DNS còn có thêm nhật ký cho dịch vụ DNS Server.
• Mỗi mục vào của nhật ký sự kiện có thể chứa các thông tin, cảnh báo,
thông báo lỗi hoặc kết quả kiểm định.
• Task Manager hiển thị các dữ liệu về hiệu năng theo thời gian thực
của bộ vi xử lý, bộ nhớ máy tính, liệt kê các ứng dụng và tiến trình
chạy trong máy tính, các thông tin về mạng và người dùng. Bạn có thể
đồng thời sử dụng Task Manager để dừng một ứng dụng và tiến trình,
thiết lập mức ưu tiên hoặc ngắt người dùng khỏi kết nối tới máy tính
đang theo dõi.
• Performance console chứa hai snap-in: System Monitor và
Performance Logs and Alerts
• System Monitor hiển thị các dữ liệu về hiệu năng theo thời gian thực
của các thành phần phần cứng và phần mềm trong hệ thống, sử dụng
các cách xem kiểu Đồ thị, Biểu đồ và Báo cáo
• Để giám sát thông tin thống kê về một hệ thống nào đó bằng System
Monitor, bạn lựa chọn một performance object thể hiện một phần tử
xác định, mỗi performance counter thể hiện một khía cạnh xác định
của đối tượng đã lựa chọn, hoặc trong một số trường hợp là của một
trường hợp riêng (instance) của đối tượng đã lựa chọn.
• Performance Logs and Alerts ghi các thông tin về hiệu năng của các
biến đếm vào nhật ký và các sự kiện của hệ điều hành để theo dõi các
nhật ký này theo các chu kỳ thời gian được lập lịch trước, cho phép
bạn chụp được một số lớn các mẫu dữ liệu để kiểm tra sau này.
• Performance Logs and Alerts còn có thể giám sát các biến đếm xác
định và thực hiện một hành động nào đó khi giá trị của các biến đếm
này đạt đến một mức ngưỡng xác định.
Bài tập thực hành 3-3: Tạo một Bảng điều khiển System
Monitor
Trong bài tập thực hành này, bạn sẽ tạo một bảng điều khiển System
Monitor mới
1. Đăng nhập vào máy tính với tài khoản Administrator
6. Các nhật ký nào sau đây có thể sử dụng Event Viewer để xem trên
một máy chủ thành viên có chức năng máy chủ ứng dụng (Chọn tất cả
các câu trả lời đúng) ?
a. Ứng dụng
b. Dịch vụ thư mục
c. Hệ thống
d. Bảo mật
e. Dịch vụ đồng bộ file
7. Tại sao một số các Biến đếm Hiệu năng trong System Monitor lại có
nhiều trường hợp riêng (instance) khác nhau ?
8. Hai cách để chữa phân hệ đĩa lưu trữ bị nghẽn cổ chai trong phần hiệu
năng máy chủ?
b. Sử dụng System Monitor, tạo ra đồ thị của cùng các biến đếm
trên và cấu hình snap-in để tạo ra một cảnh báo bằng âm thanh
khi bất kì giá trị của một biến đếm nào vượt quá mức ngưỡng
tối đa.
c. Trong snap-in Performance Logs And Alerts, tạo ra một loạt
các cảnh báo gửi thông báo đến máy trạm của bạn khi bất kì giá
trị của biến đếm nào vượt quá một mức xác định.
d. Trong snap-in Performance Logs And Alerts, tạo ra một trace
log sử dụng cùng các biến đếm như khi xác định đường cơ sở.
khả năng tháo rời. Ba tiêu chí quan trọng nhất để đánh giá các thiết bị phần
cứng sao lưu là:
• Dung lượng. Một trong những mục đích chính của việc phát triển một
chiến lược sao lưu hiệu quả là để tự động hóa quá trình sao lưu càng
nhiều càng tốt. Mặc dù bạn có thể sao lưu hàng gigabyte dữ liệu trên
các đĩa mềm 1.44MB, tuy nhiên chắc bạn không muốn phải ngồi liên
tục để nhét 712 chiếc đĩa mềm vào ổ đĩa. Do đó, bạn nên lựa chọn một
thiết bị có khả năng lưu trữ dữ liệu nhiều nhất có thể mà không cần
phải thay thế các phương tiện lưu trữ. Trường hợp lý tưởng nhất là
một phương tiện lưu trữ và khi đó toàn bộ tác vụ sao lưu có thể lưu
vừa đủ trong một cuộn băng từ đơn hoặc các phương tiện lưu trữ
khác. Điều này cho phép bạn có thể lập lịch sao lưu và chạy hoàn toàn
tự động mà không cần can thiệp. Tuy nhiên điều này không có nghĩa
là bạn phải mua một thiết bị lưu trữ có thể chứa toàn bộ dữ liệu của tất
cả các máy tính trong mạng của bạn. Bạn có thể lựa chọn cẩn thận dữ
liệu nào mà bạn muốn sao lưu. Vì vậy cho nên việc xác định dung
lượng dữ liệu cần bảo vệ và tần suất bao lâu là điều rất quan trọng
trước khi bạn quyết định dung lượng của thiết bị lưu trữ.
• Tốc độ. Một trong những tiêu chí quan trọng khác khi bạn lựa chọn
một thiết bị sao lưu là tốc độ mà thiết bị này có thể ghi dữ liệu lên các
phương tiện lưu trữ. Các thiết bị lưu trữ có thể hoạt động với rất nhiều
tốc độ khác nhau và thật không ngạc nhiên khi thiết bị nhanh nhất
thông thường cũng sẽ đắt nhất. Một tác vụ sao lưu điển hình sẽ chạy
khi hệ thống mạng đang không sử dụng, điều này để đảm bảo mọi dữ
liệu trên mạng sẵn sàng cho nhiệm vụ sao lưu. Khoảng thời gian mà
bạn sử dụng để sao lưu đôi khi được gọi là backup window (cửa sổ
sao lưu). Thiết bị sao lưu mà bạn sử dụng nên phụ thuộc một phần vào
dung lượng dữ liệu bạn muốn bảo vệ và khoảng thời gian mà bạn
muốn sử dụng để sao lưu. Ví dụ nếu bạn có 10GB dữ liệu cần sao lưu
và công ty của bạn sẽ đóng cửa từ 5 giờ chiều đến 9 giờ sáng hôm sau,
như vậy bạn có một khoảng thời gian sao lưu (backup window) là 16
giờ - rất nhiều thời gian để sao chép dữ liệu sử dụng các thiết bị lưu
trữ tốc độ trung bình. Tuy nhiên, nếu như công ty bạn hoạt động trong
ba ca và cho bạn chỉ 1 giờ, từ 7 giờ đến 8 giờ, để sao lưu 100 GB dữ
liệu, bạn phải sử dụng một thiết bị sao lưu nhanh hơn nhiều hoặc
trong trường hợp này có thể là vài thiết bị.
• Chi phí. Chi phí luôn luôn là một nhân tố trong việc lựa chọn một sản
phẩm phần cứng. Bạn có thể mua một thiết bị sao lưu loại thường với
giá khoảng 100$ đến 200$, thiết bị này phù hợp để sao lưu một máy
tính gia đình vì tốc độ và dung lượng không phải là các nhân tố chính.
Tuy nhiên, khi bạn chuyển sang các thiết bị có tốc độ và dung lượng
phù hợp với nhiệm vụ sao lưu mạng, giá cả của chúng sẽ tăng đột
ngột. Các thiết bị sao lưu cao cấp có thể có mức giá gồm 5 con số. Khi
bạn định giá một thiết bị lưu trữ, bạn phải quan tâm đến các chi phí
thêm vào của thiết bị. Các thiết bị sao lưu sử dụng các phương tiện
lưu trữ có thể tháo dời, ví dụ như băng từ hoặc đầu quay đĩa. Các
phương tiện lưu trữ này cho phép bạn có thể lưu các bản sao dữ liệu
của bạn tại nơi khác (offsite), ví dụ như trong hầm an toàn có két sắt
của một ngân hàng nào đó. Nếu tòa nhà mà hệ thống mạng của bạn
đặt tại đó bị phá hủy bởi lửa hoặc thảm họa nào đó, bạn vẫn còn dữ
liệu và bạn có thể khởi động lại hoạt động của hệ thống tại một nơi
nào đó. Do đó, ngoài việc mua một thiết bị lưu trữ, bạn cũng phải mua
thêm các phương tiện lưu trữ. Một số sản phẩm lúc đầu có vẻ là kinh
tế bởi vì thiết bị là không đắt, tuy nhiên sau một thời gian dài chạy thì
nó không còn như thế nữa bởi các phương tiện lưu trữ là quá đắt. Một
trong những phương pháp thông thường để định giá các thiết bị sao
lưu là xác định chi phí trên một MB (hoặc GB) trong khả năng lưu trữ
của nó. Chia giá của các phương tiện lưu trữ cho số lượng MB (hoặc
GB) nó có thể lưu trữ và sử dụng con số này để so sánh với chi phí
của các thiết bị khác tương ứng. Đương nhiên, trong một số trường
hợp, bạn có thể cần thiết phải hy sinh tính kinh tế để có được khả
năng tốc độ hoặc dung lượng.
Một số thiết bị lưu trữ có khả năng tháo rời có thể sử dụng như là thiết bị sao
lưu sẽ được xem xét trong các phần sau đây:
được trang bị các thiết bị ổ CD, DVD cho các mục đích khác, do đó giảm đi
sự cần thiết phải mua thêm các thiết bị sao lưu chuyên dụng khác.
Đối với việc sao lưu mạng, CD-ROM không được sử dụng thường xuyên
bởi hầu hết các hệ thống mạng đều có hàng gigabyte dữ liệu giá trị để sao
lưu, khi đó sẽ yêu cầu rất nhiều việc thay đĩa. DVD-ROM giảm số lượng đĩa
phải thay và có thể phù hợp với các hệ thống mạng nhỏ, tuy nhiên chúng vẫn
không đủ dung lượng để sao lưu một cách hiệu quả trong các mạng của
doanh nghiệp lớn. Hơn nữa, CD-ROM và DVD-ROM cũng thường không
được các sản phẩm phần mềm sao lưu mạng hỗ trợ. Mặc dù các thiết bị này
thường có gắn kèm các phần mềm có khả năng sao lưu hạn chế (thường áp
dụng cho các nhiệm vụ sao lưu hệ thống đơn, qui mô nhỏ), các phần mềm
này thường xuyên không cung cấp đủ các tính năng cần thiết để sao lưu một
hệ thống mạng một cách hiệu quả.
tính, cấp cho nó một kí tự ổ đĩa và sao chép file vào đó như bạn làm với các
đĩa cứng được. Một chương trình phần mềm được yêu cầu để đánh địa chỉ
cho ổ băng này, gửi dữ liệu bạn lựa chọn đến nó để lưu trữ và khôi phục dữ
liệu sau này. Điều này có nghĩa là các ổ băng từ rất ít sử dụng cho các nhiệm
vụ khác ngoài sao lưu, trong khi các loại thiết bị lưu trữ có thể tháo dời khác,
ví dụ như đĩa CD-ROM, có thể sử dụng cho các chức năng khác.
LƯU Ý: Nén băng từ. Dung lượng của các thiết bị băng từ thông
thường được phân chia thành 2 loại, ví dụ như 40GB và 80GB. Các
con số này thể hiện dung lượng của một băng từ chưa nén và đã
nén. Hầu hết các thiết bị băng từ đều có khả năng nén dữ liệu bằng
phần cứng được trang bị sẵn, nhưng dung lượng trống mà bạn có
thể có thêm khi nén thì dựa vào kiểu của dữ liệu được lưu trữ. Dung
lượng thông thường mà nhà sản xuất thiết bị sử dụng được giả định
dựa trên tỷ lệ nén 2:1, đây là tỉ lệ nén điển hình áp dụng với các kiểu
file chạy và các dạng file ứng dụng khác. Một số loại file khác, ví dụ
như file hình ảnh mà sử dụng các định dạng chưa nén như BMP hay
TIF, có thể được nén với tỷ lệ cao hơn như 8:1. tuy nhiên các file
hình ảnh đã được nén như file GIF hay JPG sẽ không thể nén thêm
được nữa và được lưu trữ với tỷ lệ nén là 1:1.
Các Autochanger
Trong một số trường hợp, thậm chí các thiết bị băng từ có dung lượng cao
nhất cũng không đủ để sao lưu một hệ thống mạng với các dữ liệu liên tục
thay đổi. Một hệ thống mạng có thể phải làm việc với một lượng dữ liệu rất
lớn để sao lưu hoặc thời gian sao lưu (backup window) rất nhỏ. Để tạo ra
một giải pháp sao lưu tự động với dung lượng lớn hơn khả năng cung cấp
của một băng từ đơn, bạn có thể mua một thiết bị được gọi là autochanger
(Thiết bị có khả năng nạp tự động).
Một autochanger (Thể hiện trong Hình 4-2) là một thiết bị phần cứng có
chứa một hoặc nhiều ổ đĩa (thông thường là các ổ băng từ, tuy nhiên cũng có
các thiết bị autochanger sử dụng đĩa quang và CD-ROM), một dãy các đĩa
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
148
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
lưu trữ và một kết cấu robot máy có thể tráo đổi các đĩa lưu trữ vào và ra
khỏi ổ đĩa. Đôi khi các thiết bị này còn được gọi là jukeboxe hoặc tape
library. Khi các tác vụ sao lưu ghi đầy dữ liệu vào một băng từ (hoặc các
phương tiện lưu trữ khác), kết cấu robot này sẽ rút đĩa từ này ra khỏi ổ và
nhét một đĩa khác vào, sau đó tác vụ sao lưu sẽ tiếp tục. Thiết bị
autochanger này đồng thời duy trì một bộ nhớ ghi lại đĩa nào còn chưa sử
dụng, thông thường được gọi là một danh mục, và do đó nó có thể tự động
nạp các băng từ tương ứng cần để tiếp tục nhiệm vụ.
mềm đặc biệt được yêu cầu để lấy dữ liệu mà bạn cần sao lưu và gửi chúng
đến ổ đĩa. Windows Server 2003 có kèm theo một chương trình phần mềm
sao lưu cung cấp chức năng cơ bản cho các nhiệm vụ sao lưu hệ thống đơn,
nhưng cũng giống như hầu hết các chương trình sao lưu đi kèm hệ điều
hành, phần mềm này thiếu các tính năng tiên tiến cần thiết để sao lưu hiệu
quả trong một môi trường mạng phức tạp.
Chức năng chính của một phần mềm sao lưu tốt sẽ được xem xét trong các
phần sau đây.
Hình 4-3. Thẻ Backup trong chương trình Windows Server 2003 Backup
Trong hầu hết các trường hợp, bạn không cần thiết phải sao lưu mọi dữ liệu
trong các ổ đĩa của máy tính. Nếu một đĩa cứng bị xóa hoặc phá hủy hoàn
toàn, bạn có thể phải cài đặt lại hệ điều hành trước khi bạn khôi phục các file
từ một băng từ sao lưu và do đó việc sao lưu mọi file của hệ điều hành mỗi
khi bạn chạy một tác vụ sao lưu là không có giá trị nhiều. Tương tự đối với
các ứng dụng, bạn có thể cài đặt lại một ứng dụng từ bộ cài gốc, do đó bạn
có thể chỉ cần sao lưu các file dữ liệu và các thiết lập cấu hình của ứng dụng
đó. Hơn nữa, hầu hết các hệ điều hành hiện nay đều tạo ra các file tạm khi
chạy, những file này bạn cũng không cần thiết phải sao lưu. Ví dụ Windows
tạo ra file phân trang bộ nhớ có thể có kích cỡ hàng trăm hoặc hàng ngàn
MB. Bởi vì các file này được tạo ra tự động, bạn có thể tiết kiệm dung lượng
trong các băng từ sao lưu của bạn bằng cách bỏ qua file này và các file
tương tự trong các tác vụ sao lưu. Sự lựa chọn đúng đắn các mục tiêu để sao
lưu có ý nghĩa trong trường hợp hoặc bạn có thể lưu vừa đủ toàn bộ dữ liệu
cần sao lưu vào trong một băng từ hoặc có thể bạn phải ở lại muộn sau giờ
làm việc để nhét băng từ thứ hai vào trong ổ đĩa.
Sử dụng các Filter (Bộ lọc). Việc lựa chọn các file, thư mục và ổ cứng riêng
rẽ mà bạn muốn sao lưu có thể khá nhàm chán trong một mạng lớn, do đó rất
nhiều các chương trình sao lưu cung cấp một cách khác để lựa chọn mục
tiêu. Một trong những phương pháp thông dụng là sử dụng bộ lọc, cho phép
phần mềm đánh giá từng file và thư mục trên một đĩa cứng và sau đó quyết
định liệu có sao lưu không. Các chương trình phần mềm sao lưu điển hình
có hỗ trợ bộ lọc thường cho phép bạn sử dụng các bộ lọc bao hàm và bộ lọc
loại trừ; có nghĩa là một bộ lọc có thể nhận biết các file bạn muốn sao lưu
hoặc các file bạn muốn loại bỏ ra khỏi quá trình sao lưu.
Một chương trình sao lưu tốt cung cấp rất nhiều bộ lọc cho phép bạn lựa
chon mục tiêu dựa trên các thông số sau đây:
Tên file và thư mục. Việc chọn từng file và thư mục bằng bộ lọc là không
dễ hơn cách hiển thị bằng cây thư mục, tuy nhiên khả năng sử dụng các kí tự
đại diện trong tên file và thư mục là một tính năng rất mạnh. Bạn có thể sử
dụng các dấu hỏi (?) để đại diện cho các kí tự đơn hoặc dấu hoa thị (*) để
đại diện cho nhiều ký tự. Ví dụ tạo ra một bộ lọc loại trừ sử dụng đại diện
file *.tmp sẽ loại bỏ các file có phần mở rộng là .tmp (thông thường được sử
dụng cho các file tạm) trong tác vụ sao lưu.
Kích thước file. Bộ lọc dựa trên kích thước file cho phép bạn loại trừ các
file có độ lớn zero ra khỏi tác vụ sao lưu hoặc loại trừ các file rất lớn, ví dụ
như file phân trang bộ nhớ Pagefile.sys
Ngày giờ của file. Một hệ thống file sẽ duy trì tối thiểu một thông số ngày
và giờ cho mỗi file lưu trữ, điển hình là các thông tin khi file đó được chỉnh
sửa gần đây nhất. Một số hệ thống file, ví dụ như hệ thống file Windows
NTFS, bao gồm rất nhiều thông tin ngày giờ cho mỗi file, ví dụ như thời
điểm file được tạo ra, thời điểm file được truy cập lần cuối cùng, và thời
điểm file được chỉnh sửa lần cuối. Bộ lọc dựa trên các thông số thời gian này
cho phép bạn sao lưu chỉ các file đã thay đổi từ một thời điểm nhất định
hoặc chỉ các file cũ hơn một ngày xác định nào đó.
Thuộc tính của file. Thuộc tính là các cờ giá trị 1-bit được gắn kèm theo
các file cho biết các đặc tính của chúng. Hầu hết các hệ thống file hỗ trợ bốn
thuộc tính DOS chuẩn, đó là H – Thuộc tính ẩn, R - thuộc tính Chỉ đọc, S -
thuộc tính Hệ thống và A – thuộc tính Lưu trữ, tuy nhiên một số hệ thống
file còn có các thuộc tính khác nữa. Phần lớn các chương trình sao lưu đều
dựa chủ yếu vào các bộ lọc thuộc tính để làm nhiệm vụ sao lưu, điều này cho
phép chúng sao lưu chỉ các file thay đổi từ lần sao lưu gần nhất trước đó.
Kiểu bộ lọc này là kiểu cơ bản sử dụng cho các tác vụ sao lưu incremental
(Tăng lên) và differential (vi sai).
LƯU Ý: Bộ lọc trong Windows Server 2003 Backup. Chương trình
sao lưu Windows Server 2003 Backup cho phép bạn tạo ra các bộ
lọc tùy chọn theo tên file và thư mục để loại bỏ các file cá biệt ra
khỏi tác vụ sao lưu. Tuy nhiên, chương trình này không hỗ trợ các
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
153
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
bộ lọc bao hàm hoặc các bộ lọc kích thước, ngày/giờ và thuộc tính
ngoài các bộ lọc sẵn có trong các tác vụ sao lưu chuẩn.
Hiểu biết về các kiểu tác vụ sao lưu. Hầu hết, tuy nhiên không phải là tất
cả, các phần mềm sao lưu đều bao gồm một loạt các kiểu tác vụ sao lưu
chuẩn mà thực chất là việc kết hợp các bộ lọc cấu hình trước. Ví dụ chương
trình Windows Server 2003 Backup cho phép bạn lựa chọn từ năm kiểu tác
vụ sau (Thể hiện trong Hình 4-4):
• Normal (Thông thường). Sao lưu tất cả các file vào phương tiện lưu
trữ và đặt lại bit lưu trữ trong mỗi file để chỉ định rằng các file này đã
được sao lưu.
• Copy (Sao chép). Sao lưu tất cả các file vào phương tiện lưu trữ và
không đặt lại bit lưu trữ của các file này.
• Differential (Vi sai). Chỉ sao lưu các file đã thay đổi từ lần sao lưu
Normal gần đây nhất và không đặt lại bit lưu trữ của chúng.
• Incremental (tăng lên). Chi sao lưu các file đã thay đổi từ các lần sao
luu Normal hoặc Incremental gần đây nhất và đặt lại bit lưu trữ của
các file
• Daily (Hàng ngày). Chỉ sao lưu các file mà được tạo ra hoặc chỉnh sửa
ngày hôm nay và không đặt lại bit lưu trữ trong các file đó.
Hình 4-4: Thẻ Backup Type trong hộp thoại Option của chương trình
Windows Server 2003 Backup
Kiểu cơ bản nhất của tác vụ sao lưu là sao lưu đầy đủ toàn bộ (còn gọi là sao
lưu normal trong Windows Server 2003 Backup), kiểu này sẽ sao chép toàn
bộ các mục tiêu lựa chọn vào băng từ hay các phương tiện sao lưu khác. Bạn
có thể thực hiện việc sao lưu đầy đủ hàng ngày, nếu bạn muốn, hoặc chỉ làm
thế mỗi khi bạn tiến hành sao lưu một máy tính cụ thể nào đó. Tuy nhiên,
việc làm như thế có thể không thực tế do các lý do sau:
• Có quá nhiều dữ liệu để sao lưu. Các đĩa cứng điển hình trong các
máy tính ngày nay chứa nhiều dữ liệu hơn bao giờ hết và trong một
mạng lớn, tổng dung lượng lưu trữ có thể dễ dàng đạt tới hàng ngàn
GB. Trừ khi bạn muốn tiêu rất nhiều tiền vào các băng từ lưu trữ và
phần cứng autochanger, còn lại nếu bạn sao lưu toàn bộ dữ liệu trong
mỗi máy tính hàng ngày là không khả thi chút nào.
• Không có đủ thời gian để tiến hành sao lưu. Hầu hết các quản trị
mạng đều lập lịch sao lưu mạng để việc này được tiến hành vào buổi
đêm hoặc khi hết giờ làm việc. Sao lưu trong thời gian không làm việc
sẽ cho phép chương trình sao lưu không phải bỏ qua các file đang
trong trạng thái mở và nó cũng tối thiểu hóa các tác động đến lưu
lượng mạng gây ra bởi các quá trình sao lưu từ xa. Đối với một số
doanh nghiệp, thời gian để tiến hành sao lưu là không đủ để sao lưu
toàn bộ hệ thống mạng trừ khi sử dụng rất nhiều thiết bị sao lưu tốc độ
cao.
• Có quá nhiều dữ liệu dư thừa. Hầu hết các dữ liệu lưu trong một ổ
cứng của máy tính điển hình là dữ liệu tĩnh; nó không thay đổi hàng
ngày. Các file ứng dụng và file hệ điều hành không bao giờ thay đổi,
và một số file tài liệu văn bản có thể tồn tại lâu dài mà không có người
dùng nào thay đổi nó cả. Sao lưu các file như vậy hàng ngày có nghĩa
là lưu các dữ liệu giống nhau vào băng từ mãi mãi và mãi mãi, rất tốn
thời gian và phương tiện lưu trữ.
LỜI KHUYÊN. Lưu trữ trên máy chủ. Mức độ dễ dàng của sao lưu
là một trong những lý do mà nhiều quản trị mạng yêu cầu người
dùng lưu các file dữ liệu của họ trên máy chủ hơn là trên các đĩa
cứng của máy trạm nội bộ. Bằng cách cấp cho mỗi người dùng một
home directory (thư mục gốc riêng) trên một máy chủ, ta có khả
năng sao lưu các file dữ liệu của người dùng bằng việc sao lưu một
máy chủ đơn thay cho việc phải cấu hình phần mềm sao lưu kết nối
đến mỗi máy trạm hàng ngày.
Để lưu băng từ và làm ngắn thời gian sao lưu, rất nhiều quản trị hệ thống
tiến hành sao lưu đầy đủ một lần trong một tuần hoặc thậm chí ít hơn. Giữa
các lần sao lưu đầy đủ đó, họ tiến hành các kiểu sao lưu đặc biệt khác mà chỉ
sao lưu các file được chỉnh sửa gần đây. Kiểu tác vụ sao lưu này được gọi là
incremental backup và differential backup (Sao lưu phần thay đổi và sao
lưu vi sai). Incremental backup là tác vụ sao lưu mà chỉ sao lưu các file đã
thay đổi từ bất kì lần sao lưu nào trước đó. Differential backup là tác vụ sao
lưu mà chỉ sao lưu các file đã thay đổi từ lần sao lưu đầy đủ trước đó. Phần
mềm sao lưu sẽ lọc các file cho các tác vụ này bằng cách sử dụng thuộc tính
Lưu trữ, còn được gọi là archive bit (bit lưu trữ), mà mỗi file trong máy tính
đều có.
Thực tế bit lưu trữ không chỉnh sửa các chức năng của file giống như các
thuộc tính Chỉ đọc và Ẩn, nó chỉ đơn giản là một bit đánh dấu để phần mềm
sao lưu sử dụng để xác định liệu có sao lưu file này không. Trạng thái của
các bit lưu này trong các tác vụ sao lưu điển hình như sau:
1. Khi một file được ghi vào trong đĩa cứng máy tính lần đầu tiên, bit lưu
của nó được kích hoạt, giá trị của nó được thiết lập là 1.
2. Trong lần sao lưu đầy đủ đầu tiên bạn tiến hành trên máy tính, phần
mềm sao lưu sẽ sao lưu toàn bộ nội dung của đĩa cứng và đồng thời
đặt lại (nghĩa là đưa giá trị này về 0) bit lưu trữ của tất cả các file. Tại
thời điểm này, bạn có một bản sao lưu đầy đủ của đĩa cứng trên băng
từ và không một file nào trên đĩa cứng có bit lưu trữ được kích hoạt.
3. Khi bất kì một file trên đĩa cứng được chỉnh sửa bởi bất kì ứng dụng
hoặc tiến trình nào, hệ thống file sẽ tái kích hoạt bit lưu trữ của file đó
4. Trong lần sao lưu tiếp theo, bạn tiến hành một tác vụ sao lưu kiểu
incremental hoặc differential. Phần mềm sao lưu sẽ quét tất cả các bit
lưu trữ của các file trên đĩa cứng và chỉ sao lưu các file có bit lưu trữ
đang được kích hoạt. Tại thời điểm này, bạn có một bản sao lưu đầy
đủ của toàn bộ đĩa cứng và một bản sao lưu của tất cả các file đã thay
đổi từ lần sao lưu đầy đủ trước. Nếu sự cố hoặc thảm họa xảy ra dẫn
đến toàn bộ nội dung của đĩa cứng bị mất, bạn có thể khôi phục về
trạng thái hiện tại bằng cách tiến hành khôi phục từ băng từ sao lưu
đầy đủ trước, sau đó khôi phục từ băng từ incremental hay
differential, cho phép phiên bản đã thay đổi của các file ghi đè lên
phiên bản gốc.
Bởi vì các các bản sao lưu incremental hay differential chỉ chứa một phần
của nội dung đĩa nên chúng sẽ chạy nhanh hơn và tốn ít băng từ hơn là sao
lưu đầy đủ. Một chiến lược sao lưu mạng điển hình bao gồm một lần sao lưu
đầy đủ vào một ngày trong tuần và các tác vụ sao lưu incremental hoặc
differential trong các ngày còn lại. Với cách bố trí này, bạn luôn luôn có thể
khôi phục được đĩa cứng về trạng thái gốc mà không mất quá 24 giờ.
Khác nhau giữa một tác vụ sao lưu incremental và differential nằm ở cách
xử lý của phần mềm sao lưu khi nó đặt lại hoặc không đặt lại bit lưu trữ của
các file mà nó sao chép vào băng từ. Tác vụ sao lưu incremental sẽ đặt lại
bit lưu trữ còn differential thì không. Việc chạy các tác vụ sao lưu
incremental hay differential thường xuyên cho phép tự động hóa chế độ sao
lưu của bạn mà không tốn nhiều phần cứng. Ví dụ bản sao lưu đầy đủ của
bạn tổng số là 50GB, bạn có thể mua một thiết bị ổ đĩa 20GB. Bạn sẽ phải tự
tay nhét hai băng từ thêm vào trong quá trình sao lưu đầy đủ, một tuần một
lần, tuy nhiên bạn có thể chạy các tác vụ sao lưu incremental hay
differential trong các ngày còn lại trong tuần sử dụng chỉ một tape cho mỗi
lần, điều này có nghĩa là tác vụ này có thể chạy tự động mà không cần phải
giám sát.
Sử dụng sao lưu Incremental. Điều này có nghĩa là khi bạn chạy một tác
vụ sao lưu Incremental, bạn chỉ sao lưu các file đã thay đổi từ lần sao lưu
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
157
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
trước gần nhất, lần đó có thể là sao lưu đầy đủ hoặc sao lưu incremental.
Thực hiện sao lưu Incremental giữa các lần sao lưu đầy đủ sẽ sử dụng ít
băng từ nhất, tuy nhiên điều này cũng kéo dài thời gian khôi phục. Nếu bạn
phải khôi phục lại toàn bộ máy tính, đầu tiên bạn phải khôi phục từ băng từ
sao lưu đầy đủ trước, sau đó bạn phải tiếp tục khôi phục theo thứ tự các lần
sao lưu Incremental sau lần khôi phục đầy đủ.
Ví dụ, bạn có thể xem xét lịch sao lưu thể hiện trong Bảng 4-2:
Bảng 4-2: Lịch sao lưu mẫu theo kiểu Incremental
Bản sao lưu ngày Chủ nhật là bản sao đầy đủ duy nhất của đĩa cứng máy
tính và mỗi bản sao lưu Incremental chứa các file đã thay đổi trong 24 giờ
trước. Bởi vì Data1.txt thay đổi hàng ngày, nó xuất hiện trong mọi bản sao
lưu incremental. Bit lưu của file này được kích hoạt mỗi lần nó thay đổi và
mỗi lần sao lưu incremental sẽ đặt lại bit này lần nữa. Data2.txt thay đổi chỉ
một lần vào thứ Tư nên nó chỉ xuất hiện trong bản sao lưu đầy đủ và bản sao
lưu incremental của ngày thứ Tư. Data3.txt thay đổi hai lần vào ngày thứ Ba
và thứ Năm, do đó nó xuất hiện trong bản sao lưu đầy đủ và bản sao lưu
incremental của ngày thứ ba và thứ năm.
Nếu các đĩa cứng trong máy tính bị trục trặc trong ngày thứ Sáu, hậu quả là
mọi dữ liệu đều bị mất hết, bạn có thể bắt đầu quá trình khôi phục bằng cách
khôi phục bản sao lưu đầy đủ của ngày Chủ nhật gần nhất, sau đó bạn sẽ
phải khôi phục các bản sao lưu incremental của ngày thứ Hai, thứ Ba, thứ
Tư và thứ Năm theo đúng thứ tự sau bản sao lưu đầy đủ đó. Kết quả của quá
trình khôi phục là ba file dữ liệu sẽ như sau:
• Data1.txt. Bản sao chép gốc từ lần sao lưu đầy đủ sẽ bị ghi đè bởi bản
sao chép mới hơn trong các lần khôi phục incremental, để lại phiên
bản mới nhất (của thứ Năm) trên đĩa cứng sau khi quá trình khôi phục
chấm dứt.
• Data2.txt. Bản sao chép gốc từ lần sao lưu đầy đủ ngày Chủ nhật sẽ
được duy trì trên đĩa cứng đến khi khôi phục bản sao lưu incremental
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
158
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
của ngày thứ Tư, đến lúc đó phiên bản mới nhất (ngày thứ Tư) sẽ ghi
đè phiên bản của ngày Chủ nhật. Phiên bản của ngày thứ Tư sẽ còn lại
trên đĩa cứng sau khi quá trình khôi phục chấm dứt.
• Data3.txt. Bản sao chép gốc từ lần sao lưu đầy đủ ngày Chủ nhật sẽ
bị ghi đè hai lần, lần đầu bởi phiên bản của lần sao lưu incremental
ngày thứ Ba và sau đó là bởi phiên bản của lần sao lưu incremental
ngày thứ Năm, để lại phiên bản mới nhất (của thứ Năm) trên đĩa cứng
sau khi quá trình khôi phục chấm dứt.
LƯU Ý: Khôi phục Incremental. Khi bạn khôi phục từ các bản sao
lưu Incremental, thư tự của các băng từ bạn khôi phục là rất quan
trọng. Bạn phải khôi phục các phiên bản Incremental theo thứ tự
đúng nhu khi nó được ghi vào, nếu không bạn có thể kết thúc với
phiên bản cũ của file ghi đè lên phiên bản mới nhất.
Sử dụng sao lưu Differential. Nếu bạn tiến hành các bước sao lưu giống
như trên nhưng thay các tác vụ incremental bằng differential, kết quả sẽ
được như trong Bảng 4-3.
Bảng 4-3. Lịch sao lưu mẫu theo kiểu Differential
Bởi vì các file Data1.txt thay đổi hàng ngày, nó sẽ xuất hiện trong tất cả bản
sao lưu differential, cũng như khi nó xuất hiện trong các lần incremental.
Tuy nhiên, bởi vì các tác vụ differential không đặt lại bit lưu trữ trong các
file nó sao lưu, nên khi một file đã xuất hiện trong một lần differential, nó sẽ
xuất hiện trong mọi lần tiếp theo cho đến lần sao lưu đầy đủ kế tiếp. Do đó,
file Data2.txt lần đầu tiên xuất hiện trong bản incremental ngày thứ Tư sẽ
đồng thời được sao lưu trong các ngày thứ Năm, thứ Sáu và thứ Bảy bởi vì
bit lưu trữ của nó vấn còn được kích hoạt. Cũng giống như thế, file Data3.txt
mà xuất hiện lần đầu tiên trong bản differential ngày thứ Ba cũng sẽ xuất
hiện trong tất cả các bản sao lưu differential tiếp theo trừ bản Differential
vào ngày thứ Năm, đây là phiên bản mới hơn bản đã được sao lưu hàng đêm
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
159
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
trước đó. Các bit lưu trữ của ba file này không được đặt lại cho đến lần sao
lưu đầy đủ tiếp theo, diễn ra vào ngày Chủ nhật kế tiếp.
Khi bạn sử dụng các sao lưu differential, tác vụ này diễn ra lâu hơn và sử
dụng nhiều băng từ hơn một chút bởi vì trong một số trường hợp, bạn phải
sao lưu các file giống nhau trong vài ngày liên tiếp. Tuy nhiên, khôi phục từ
các lần sao lưu differential sẽ đơn giản hơn và nhanh hơn bởi vì bởi vì bạn
chỉ phải khôi phục bản sao lưu đầy đủ và bản sao lưu differential gần nhất.
Nếu ổ đĩa trong ví dụ này bị sự cố trong ngày thứ Bảy, bạn chỉ phải khôi
phục bản sao lưu đầy đủ của ngày Chủ nhật trước và bản sao lưu differential
của ngày hôm trước (Thứ Sáu). Băng từ của ngày thứ Sáu sẽ chứa các file
Data1.txt, Data2.txt và Data3.txt trong nó. Phiên bản của Data1.txt sẽ là của
ngày thứ Sáu, Data2.txt sẽ là phiên bản của ngày thứ Tư và Data3.txt sẽ là
phiên bản của ngày thứ Năm.
Sử dụng các tác vụ Copy và Daily. Các chương trình phần mềm sao lưu
cho phép bạn tiến hành các kiểu sao lưu Norman, incremental và
differential, tuy nhiên ứng dụng Windows Server 2003 Backup còn bao gồm
thêm hai tính năng mà không nhất thiết sẽ có trên các sản phẩm phần mềm
khác. Một tác vụ sao lưu Daily (Hàng ngày) sử dụng một bộ lọc dựa trên
ngày thay cho dựa trên các bit lưu để chỉ sao lưu các file được tạo ra hoặc
thay đổi trong ngày mà tác vụ sao lưu này chạy. Một tác vụ sao lưu kiểu
Copy (Sao chép) giống như một tác vụ sao lưu đầy đủ ngoại trừ việc phần
mềm sao lưu này không chỉnh sửa giá trị của bit lưu trữ trong các file mà nó
sao chép ra băng từ. Bạn có thể sử dụng kiểu sao lưu Copy để tiến hành các
bản sao lưu đầy đủ vào bất kì thời điểm nào, ví dụ như cho các thiết bị lưu
trữ ngoài hệ thống, mà không ảnh hưởng đến trình tự đều đặn thường xuyên
của các tác vụ sao lưu đầy đủ và incremental hoặc differential.
LƯU Ý. Các tên của tác vụ sao lưu. Chỉ có chương trình Windows
Server 2003 Backup sử dụng tên của tác vụ sao lưu đầy đủ là
Normal và không có gì lạ nếu các chương trình phần mềm sao lưu
khác sử dụng các tên khác nhau khi đề cập đến các kiểu sao lưu cơ
bản.
LƯU Ý. Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 là học
viên có khả năng “lập lịch cho các tác vụ sao lưu”
Hầu hết các doanh nghiệp đều tiến hành các tác vụ sao lưu incremental hoặc
differential hàng ngày và một lần sao lưu đầy đủ một lần trong tuần. Cách
bố trí này cung cấp một sự cân bằng tốt giữa khả năng bảo vệ với thời gian
và phương tiện lưu trữ dành cho nhiệm vụ sao lưu là rất hợp lý. Trường hợp
lý tưởng cho một quản trị mạng là dữ liệu của mỗi lần sao lưu incremental
hay differential hàng ngày sẽ chứa vừa đủ trong một băng từ đơn. Điều này
cho phép người quản trị có thể lập lịch cho các tác vụ này để có thể chạy
không cần giám sát khi văn phòng đã đóng cửa và hệ thống mạng đang rỗi
rãi. Kết quả là mọi tài nguyên đều sẵn sàng cho nhiệm vụ sao lưu và hiệu
suất làm việc của người dùng không bị giảm bởi sự nghẽn mạng do các lưu
lượng dữ liệu trong quá trình sao lưu, đồng thời không cần phải có người
thay thế các phương tiện lưu trữ. Khi bạn đã có một lịch sao lưu, bạn chỉ cần
đơn giản nhét đúng các băng từ vào các ổ đĩa mỗi ngày. Các lần sao lưu đầy
đủ có thể yêu cầu nhiều hơn một băng từ và do vậy ai đó phải có mặt để thay
thế các phương tiện lưu trữ.
LỜI KHUYÊN. Lựa chọn phần cứng sao lưu. Khả năng tạo ra các
lịch sao lưu tự động không cần giám sát là nhân tố quan trọng nhất
để xem xét khi bạn đánh giá các sản phẩm phần cứng sao lưu. Trước
khi lựa chọn một ổ đĩa, bạn nên ước lượng dung lượng dữ liệu mà
bạn sẽ phải sao lưu mỗi ngày (có tính đến cả phần dữ liệu tăng
trưởng) và xem xét các ổ đĩa có thể lưu trữ tối thiểu là lượng dữ liệu
trên trong một băng từ đơn.
Các chương trình sao lưu sử dụng rất nhiều phương pháp để thi hành các tác
vụ tự động. Chương trình Windows Server 2003 Backup thêm các tác vụ
này vào trong danh sách Scheduled Tasks của hệ điều hành; các chương
trình khác thường cung cấp chương trình hoặc dịch vụ riêng của chúng mà
liên tục chạy và kích hoạt các tác vụ tại các thời điểm tương ứng. Một số sản
phẩm sao lưu mạng cao cấp có thể sử dụng dịch vụ thư mục ví dụ như
Microsoft’s Active Directory hay Novell’s eDirectory để lập lịch. Các
chương trình này chỉnh sửa schema (lược đồ) của thư mục (mã cho biết kiểu
đối tượng nào có thể tồn tại trong thư mục) để tạo ra các đối tượng thể hiện
hàng đợi của tác vụ chờ để được xử lý.
,Chu trình lập lịch của các phần mềm sao lưu là giống nhau, không phụ
thuộc vào kĩ thuật nào mà chúng sử dụng để nạp các tác vụ. Bạn có thể chỉ
ra liệu bạn có muốn thực hiện tác vụ một lần hay lặp lại tại các thời điểm xác
định mỗi ngày, tuần hoặc tháng, sử dụng một giao diện giống như chương
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
161
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
trình Windows Server 2003 Backup (Thể hiện trong Hình 4-5). Một ý tưởng
của tính năng lập lịch là để cho người quản trị mạng tạo ra sự tuần tự logic
của các tác vụ sao lưu mà tự thực hiện bởi chính chúng sau các khoảng thời
gian lặp đều đặn. Sau khi người quản trị mạng làm điều đó, hành động duy
nhất yêu cầu là thay đổi các băng từ mỗi ngày. Nếu bạn có một thiết bị
autochanger, bạn thậm chí còn có thể loại bỏ thao tác này và tạo ra một tác
vụ sao lưu tuần tự chạy hàng tuần hoặc hàng tháng mà không cần phải giám
sát một chút nào.
Hình 4-5. Hộp thoại Schedule Job của chương trình Windows Server
2003 Backup
diễn ra trong quá trình sao lưu. Chương trình Backup trong Windows Server
2003 sử dụng một giao diện như trong Hình 4-6 để xác định liệu chương
trình sẽ giữ một nhật ký Detail (Chi tiết), một bản Summary (Tổng kết) hay
None (Không lưu nhật ký nào cả).
Hình 4-6. Thẻ Backup Log trong hộp thoại Options của chương trình
Windows Server 2003 Backup.
Trong hầu hết các trường hợp, một nhật ký chi tiết của tác vụ sao lưu là
không cần thiết. Kiểu nhật ký này thường chứa một danh sách các file mà
chương trình thực hiện sao lưu (Thể hiện trong Hình 4-7) và do tác vụ sao
lưu thường chứa hàng ngàn file nên một nhật ký chi tiết có thể rất dài và các
mục cần chú ý (ví dụ như lỗi) lại rất khó để tìm kiếm. Việc xem kích thước
của các file nhật ký cũng là rất quan trọng, nhất là khi bạn cấu hình để duy
trì mức độ rất chi tiết. Các file này có thể tăng dung lượng rất nhanh và có
thể sử dụng hết dung lượng trống trên đĩa cứng nơi chúng được lưu trữ.
Hình 4-7. Một bản nhật ký sao lưu của chương trình Windows Server
2003 Backup
Việc kiểm tra định kỳ các nhật ký là một phần thiết yếu của việc quản trị
chương trình sao lưu mạng. Các nhật ký cho bạn biết khi nào các file cụ thể
nào bị bỏ qua do lý do bất kì nào đó, ví dụ như khi file đó đang được mở bởi
ứng dụng hoặc không thể tìm thấy máy tính mà chúng được lưu trên đó.
Nhật ký cũng cho bạn biết khi nào lỗi xảy ra trên các đĩa sao lưu hoặc trên
một trong các máy tính nằm trong chu trình sao lưu. Một số sản phẩm phần
mềm sao lưu còn có thể tạo ra các cảnh báo khi lỗi xảy ra, thông báo cho bạn
bằng cách gửi đi các thông điệp trạng thái tới một bảng điều khiển quản trị
mạng, bằng cách gửi cho bạn một thông điệp email hoặc bằng các phương
pháp khác.
LƯU Ý. Mục đích của kỳ thi. Mục đích của kỳ thi là học viên phải
có khả năng “xác nhận sự hoàn thành của các tác vụ sao lưu”
đề với phương pháp này là bạn phải đưa một băng từ vào trong ổ băng thì
mới đọc được mục lục và duyệt các file trên băng từ đó.
Các chương trình sao lưu mạng công phu hơn có các phương thức tiếp cận
khác nhau bằng các duy trì một CSDL của các mục lục cho mọi băng từ sao
lưu trong máy tính, nơi mà phần mềm sao lưu này được cài đặt. CSDL này
cho phép bạn duyệt qua các mục lục của tất cả các băng từ và bạn có thể lựa
chọn khôi phục bất kỳ phiên bản nào của file hoặc thư mục. Trong một số
trường hợp, bạn có thể xem nội dung của các CSDL này theo các cách khác
nhau, ví dụ như theo máy tính, ổ đĩa hay thư mục nơi lưu trữ gốc của các file
này, theo các tác vụ sao lưu hoặc theo các băng từ hay các tên khác của
phương tiện lưu trữ. Sau khi bạn lựa chọn, chương trình sẽ định vị băng từ
nào chứa các file hay thư mục bạn cần; bạn đưa nó vào trong ổ băng và quá
trình khôi phục sẽ được tiến hành.
Các tính năng của CSDL có thể sử dụng rất nhiều không gian đĩa trên máy
tính và nhịp xử lý của bộ vi xử lý, tuy nhiên chúng lại tăng cường rất nhiều
khả năng cho phần mềm, đặc biệt là trong môi trường mạng.
LƯU Ý. CSDL sao lưu. Các sản phẩm phần mềm sao lưu dựa trên
CSDL thường lưu một bản sao của CSDL trên các băng từ đồng thời
trên các đĩa cứng máy tính. Với tính năng này, nếu máy tính dùng
chạy các tác vụ sao lưu của bạn bị hỏng ổ đĩa cứng thì bạn vẫn có
thể khôi phục các được CSDL này. Rất nhiều sản phẩm đồng thời
cho phép bạn xây dựng lại CSDL trên máy tính bằng cách đọc nội
dung của băng từ và chuyển các chỉ mục của nó sang một file CSDL
mới.
Một trong những chính sách quay vòng phương tiện sao lưu thông dụng nhất
được gọi là phương pháp Grandfather-Father-Son (Ông-Bố-Con). Trong
phương pháp này, các khái niệm Ông, Bố và Con tham chiếu tướng ứng đến
các băng từ hàng tháng, hàng tuần và hàng ngày. Với các tác vụ sao lưu
hàng ngày, bạn có một tập các băng từ mức “con” được sử dụng lại hàng
tuần. Đối với các tác vụ sao lưu hàng tuần, bạn có các băng từ mức “cha”
được sử dụng lại hàng tháng. Sau đó, vào mỗi tháng, bạn tiến hành thêm một
lần sao lưu đầy đủ vào tập các băng từ mức “Ông”, các băng từ này được sử
dụng lại hàng năm. Phương thức này cho phép bạn tiến hành khôi phục một
cách hoàn chỉnh tại bất kỳ thời điểm nào và duy trì danh mục các file trong
một năm của bạn. Ngoài ra còn có các chính sách sao lưu khác có thể thay
đổi mức độ phức tạp và sự tiện dụng, tùy vào sản phẩm phần mềm sao lưu.
Khi chương trình phần mềm thực thi chính sách quay vòng, nó cung cấp một
lịch trình cho các tác vụ (mà bạn có thể chỉnh sửa để các tác vụ đó được thực
hiện tại các thời gian xác định trong ngày), cho bạn biết tên cần ghi trên mỗi
băng từ để sử dụng nó và khi bạn bắt đầu sử dụng lại các băng từ này, nó sẽ
cho bạn biết băng từ nào cần cho vào ổ băng cho mỗi tác vụ. Kết quả cuối
cùng là bạn duy trì một bản ghi lâu dài các dữ liệu của bạn trong khi lại sử
dụng tối thiểu số lượng băng từ mà không sợ ghi đè lên bất cứ một băng từ
nào bạn cần.
liệu từ bất kỳ băng từ nào bằng cách ghi đè lên toàn bộ chiều dài của
cuộn băng do mục đích bảo mật. Điều này không có nghĩa là toàn bộ
dữ liệu không thể tái tạo lại bằng các phương pháp khác, trừ bản thân
phần mềm sao lưu không thể đọc được các dữ liệu đã bị xóa khỏi
băng từ.
• Duy trì băng từ. Một số dạng băng từ có thể cait thiện được tình
trạng của nó nhờ việc Duy trì Băng từ,, trong đó ổ băng sẽ quay băng
từ từ đầu đến cuối cuộn băng và lại quay ngược trở lại để đảm bảo
rằng toàn bộ chiều dài của băng từ được quấn vào trong ống cuộn với
độ căng đều đặn. Sản phẩm phần mềm có khả năng này thường chỉ
làm như trên đối với một số loại băng từ cần thiết thực hiện động tác
này.
• Ổ đĩa nén. Hầu hết các nhà sản xuất ổ băng từ hiện nay đều tích hợp
khả năng nén dữ liệu vào trong sản phẩm phần cứng của mình và các
chương trình phần mềm sao lưu cũng thường cung cấp khả năng lựa
chọn tắt hoặc bật chức năng nén của phần cứng ổ đĩa. Một số chương
trình còn cung cấp khả năng tự nén dựa vào phần mềm để sử dụng với
các thiết bị không có khả năng nén bằng phần cứng. Tuy nhiên, khả
năng sử dụng của nén bằng phần cứng luôn được ưa thích hơn nén
bằng phần mềm bởi vì việc nén bằng phần mềm sẽ tiêu tốn một lượng
tài nguyên của bộ vi xử lý máy tính.
Mặc dù tiến hành sao lưu đều đặn là một biện pháp dự phòng bảo vệ dữ liệu
khỏi thảm cảnh mất toàn bộ ổ cứng nhưng phần lớn các tác vụ khôi phục
tiến hành trong môi trường mạng lại thường chỉ vì một số file mà người
dùng đã vô tính xóa đi mất. Như đã đề cập ở trên, khả năng tạo mục lục của
các phần mềm sao lưu là một phần quan trọng của quá trình khôi phục. Nếu
người dùng cần khôi phục một số file và bạn phải nhét hết băng từ đến băng
từ kia vào trong ổ đĩa để định vị ra các file đó thì thời gian của mọi người
đang bị lãng phí. Một chương trình sao lưu với một CSDL sẽ cho phép bạn
tìm kiếm các file đặc biệt đó, làm cho nhiệm vụ của bạn dễ dàng hơn đồng
thời cho phép bạn có thể khôi phục bất kỳ file nào trong vài phút.
Nhiệm vụ khôi phục cũng tương tự như nhiệm vụ sao lưu trong đó bạn lựa
chọn file hoặc thư mục nào mà bạn muốn khôi phục, sử dụng một giao diện
trông giống như trong Hình 4-8. Khi bạn tạo ra một bản sao lưu, một phần
mềm sao lưu thông thường sẽ cho phép bạn cấu hình các tham số sau đây:
• Lựa chọn file. Bạn sẽ có thể lựa chọn bất kỳ sự kết hợp nào của các
file, thư mục hay ổ đĩa trên bất kỳ băng từ nào. Một số phần mềm sao
lưu cho phép bạn chuyển qua giữa cách nhìn phương tiện lưu trữ,
trong đó hiển thị nội dung của từng băng từ trong tủ đĩa, và cách nhìn
đĩa, trong đó hiển thị các mục tiêu sao lưu và một danh sách các phiên
bản khác nhau của từng file có trong rất nhiều các băng từ.
• Vị trí khôi phục. Bạn sẽ có khả năng lựa chọn khôi phục các file bạn
chọn vào vị trí gốc của nó một cách tự động hoặc chỉ ra địa điểm thay
thế; bạn sẽ có khả nằng tái tạo lại cây thư mục gốc hoặc chuyển tất cả
các file vào trong một thư mục đơn.
• Lựa chọn ghi đè. Khi khôi phục các file vào vị trí gốc của nó, bạn sẽ
phải chỉ ra các luật cho phép ghi đè các file đã có với cùng tên dựa
trên ngày của chúng hoặc các thông số khác.
Hình 4-8. Thẻ Restore And Manage Media trong chương trình Windows
Server 2003 Backup
Các tính năng lựa chọn thêm của sao lưu mạng
Khi bạn đang phát triển một giải pháp sao lưu cho một hệ thống mạng, một
điều rất quan trọng là bạn lựa chọn sản phẩm phần mềm sao lưu được thiết
kế cho mục đích sao lưu mạng. Sự khác nhau chính giữa phần mềm sao lưu
mạng và một ứng dụng thiết kế cho các hệ thống đơn là nó có khả năng sao
lưu các máy tính khác trong mạng. Điều này có nghĩa là bạn có thể mua một
ổ đĩa sao lưu và sử dụng nó để bảo vệ toàn mạng. Rất nhiều sản phẩm sao
lưu đơn có thể truy cập các đĩa cứng trên các máy tính mạng, tuy nhiên một
sản phẩm sao lưu mạng hoàn chỉnh còn có khả năng sao lưu các tính năng
quan trọng của hệ điều hành trên các máy tính khác, ví dụ như Windows
registry và CSDL của dịch vụ thư mục. Kiểu sao lưu từ xa này có thể yêu
cầu bạn cài đặt thêm các thành phần phần mềm trên máy tính đích.
Trong rất nhiều trường hợp, sản phẩm sao lưu mạng đều có thêm các thành
phần cho phép bạn thực hiện các tác vụ sao lưu đặc biệt, ví dụ như sao lưu
các CSDL đang chạy hoặc các máy tính chạy các hệ điều hành khác. Một số
các thành phần này được mô tả trong phần sau đây.
LƯU Ý. Các thành phần bổ sung. Trong rất nhiều trường hợp, các
gói phần mềm sao lưu mạng chỉ bao gồm các thành phần cơ bản mô
tả trong các chương trước. Để thêm vào các tính năng tốt hơn mô tả
trong phần sau, bạn phải mua các thành phần khác như là các
modul bổ sung riêng rẽ mà có thể cùng làm việc với phần mềm sao
lưu chính.
Trong chương trình Windows Server 2003 Backup, bạn lựa chọn một đối
tượng tên là System State (Trạng thái Hệ thống - Thể hiện trong Hình 4-9)
để sao lưu các phần tử sau trong máy tính nội bộ.
• Các file khởi động hệ thống
• Các file hệ thống nằm trong Windows File Protection
• Windows registry
• CSDL đăng ký COM+ Class
• Dịch vụ thư mục Active Directory (chỉ trong máy chủ quản trị miền)
• Thư mục Sysvol (chỉ trong máy chủ quản trị miền)
• Các thông tin về dịch vụ Cluster (chỉ đối với các nút trong cluster)
• Siêu thư mục Internet Information Services (IIS) (chỉ trong máy chủ
IIS)
• CSDL dịch vụ Certificate (Chỉ với certification authority - Ủy quyền
chứng nhận)
LƯU Ý. Sao lưu và khôi phục System State. Bạn có thể sao lưu và
khôi phục System State như là một đối tượng đơn. Ví dụ bạn không
thể chỉ khôi phục CSDL Windows registry từ một bản sao lưu
System State và cũng không thể đối với các phần tử khác trong đối
tượng này, ví dụ như các file khởi động hệ thống.
khác có thể truy cập nó. Điều này để bảo vệ không cho các chương trình
khác thay đổi bản sao trên đĩa của một file đang nằm trong bộ nhớ. Một
trong những lý do chính tại sao các quản trị mạng lại tiến hành sao lưu sau
giờ làm việc là để ngăn cản tình trạng bỏ qua các file vì chúng đang được
mở bởi người dùng. Do vậy, nếu người dùng để ứng dụng chạy với một file
đang mở, tác vụ sao lưu vẫn có thể không bảo vệ được file này. Để giải
quyết vấn đề này, một số phần mềm sao lưu có khả năng sao lưu các file
đang mở cho phép khả năng sao lưu các kiểu file này thậm chí ngay cả khi
các ứng dụng khác đang mở chúng.
LƯU Ý. Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 chỉ ra
rằng học viên phải có khả năng “cấu hình bảo mật cho các nhiệm
vụ sao lưu”
Để giữ cho dữ liệu của bạn được bảo mật, bạn phải bảo vệ các file trong các
băng từ sao lưu. Các phần mềm sao lưu mạng thông thường cho phép bạn sử
dụng mật khẩu để bảo vệ các băng từ sao lưu này. Bạn có thể chỉ định mật
khẩu trong quá trình tạo ra các tác vụ sao lưu và bạn phải cung cấp mật khẩu
giống thế để khôi phục dữ liệu từ các bản sao lưu đó. Khi sử dụng mật khẩu
để bảo vệ băng từ của bạn, bạn nên sử dụng cùng yêu cầu cho mật khẩu mà
bạn dùng cho hệ thống mạng, ví dụ như độ dài và tính phức hợp của mật
khẩu.
Bạn cũng phải bảo mật mức vật lý các băng từ, không chỉ bảo mật dữ liệu
mà còn phải đảm bảo tính an toàn của nơi cất giữ. Bảo vệ bằng mật khẩu có
thể ngăn ngừa những kẻ xâm phạm vô tình không khôi phục dữ liệu của bản
bằng phần mềm sao lưu nhưng thực tế dữ liệu vẫn trong băng từ với một
định dạng không được bảo vệ và một ai đó có đủ kĩ năng và thiết bị có thể
vẫn truy cập được các file này. Do đó, bạn nên luôn giữ bản sao lưu của
mình được khóa chặt chẽ, tốt nhất là trong các tủ chống cháy hoặc các khu
vực lưu trữ bảo mật nào đó. Bạn cũng nên lưu các bản sao lưu này ở xa khu
vực làm việc để nếu có trộm hoặc thảm họa cũng không làm cho các bản sao
lưu này mất đi cùng với máy tính của bạn.
• Lập lịch sao lưu để diễn ra tại các thời gian xác định hoặc lặp lại sau
các khoảng thời gian xác định.
• Xác nhận các bản sao lưu bằng cách so sánh dữ liệu ảnh trên các
phương tiện sao lưu với bản nguyên gốc của nó.
• Khôi phục các file đã sao lưu vào vị trí nguyên gốc của nó hoặc đến
một vị trí thay thế khác
• Chỉ định khi nào và liệu các file khôi phục có ghi đè các file đã tồn
tại.
Một số các tính năng liên quan đến sao lưu mà Windows Server 2003 cung
cấp được đề cập trong các phần sau đây.
Hình 4-11. Thẻ Shadow Copy của hộp thoại Local Disk Properties của
một đĩa logic
Chỉ những máy tính chạy Windows Server 2003 và Windows XP mới có thể
truy cập các file shadow copy trên các ổ đĩa. Trên các máy trạm Windows
XP, đầu tiên bạn phải cài đặt phần mềm máy khách để có thể sử dụng chức
năng này. Sau đó người dùng có thể truy cập shadow copy bằng cách hiển
thị hộp thoại Properties của file trong shadow volume và lựa chọn thẻ
Previous Versions (thể hiện trong hình 4-12)
Hình 4-12. Thẻ Previous Versions trong hộp thoại Properties của file.
LƯU Ý. Volume Shadow Copy Clients. Windows Server 2003 bao
gồm phần mềm máy khách của volume shadow copy trong thư mục
Systemroot\System32\Clients\Twclient. Bạn có thể cài đặt phần
mềm này một cách thủ công trên các máy trạm Windows XP hoặc
bằng cách cài đặt tự động, ví dụ như sử dụng chính sách nhóm
Bên cạnh việc cung cấp cho người dùng khả năng truy cập vào các phiên
bản khác nhau của các file, volume shadow copy còn cung cấp kĩ thuật sao
lưu các file mở cho trương trình Windows Server 2003 backup. Theo mặc
định, Backup sử dụng các bản sao volume shadow của các file mà đang
khóa ở trạng thái mở khi thực hiện sao lưu. Điều này cho phép chương trình
Backup sao lưu các file mà đang sử dụng bởi các ứng dụng trong thời điểm
tiến hành sao lưu. Bạn có thể không cho Backup sử dụng các bản sao
volume shadow trong các tác vụ sao lưu đặc biệt nào đó bằng cách lựa chọn
Disable Volume Shadow Copy trong hộp thoại Advanced Backup Options
(thể hiện trong hình 4-13)
Khi máy tính khởi động trong chế độ Directory Services Restore Mode, bạn
có thể chạy chương trình Backup và khôi phục lại đối tượng System State từ
băng từ hoặc các phương tiện sao lưu khác. Chương trình Windows Server
2003 Backup hỗ trợ 2 kiểu khôi phục Active Directory:
Khôi phục non-authoritative (không có thẩm quyền). Các đối tượng
trong CSDL Active Directory được khôi phục chính xác như nó xuất hiện
trong System State với các số thứ tự cập nhật gốc được giữ nguyên. Bởi vì
các số thứ tự này có giá trị bằng với giá trị mà các đối tượng có được khi tác
vụ sao lưu được tiến hành, chúng đã quá hạn và quá trình đồng bộ Active
Directory sẽ ghi đè các đối tượng này bằng các phiên bản mới hơn trong các
máy chủ quản trị miền khác. Bạn có thể sử dụng phương pháp khôi phục
non-authoritative này khi bạn muốn xây dựng lại một máy chủ quản trị
miền mà đã bị hỏng với các thông tin Active Directory mới nhất được cập
nhật từ các máy chủ quản trị miền khác. Chương trình Windows Server 2003
Backup theo mặc định sẽ thực hiện tác vụ khôi phục theo kiểu non-
authoritative.
Khôi phục Authoritative (có thẩm quyền). Các đối tượng trong CSDL
Active Directory sẽ được khôi phục mà các số thứ tự cập nhật sẽ không bị
ghi đè trong các quá trình đồng bộ Active Directory sau đó. Bạn sử dụng
khôi phục kiểu Authoritative khi bạn muốn dùng bản sao lưu System State
để phục hồi lại các đối tượng Active Directory mà bạn đã vô tình xóa đi.
Để thực hiện việc khôi phục Authoritative, ban đầu bạn phải thực hiện khôi
phục kiểu non-authoritative trước, sau đó trước khi khởi động lại máy tính,
bạn sử dụng một tiện ích dòng lệnh được gọi là Ndsutil.exe để đánh dấu các
đối tượng trong Active Directory hiện tại như là authoritative. Tiện ích
Ndsutil.exe có thể tìm thấy trong thư mục Systemroot\System32. Việc đánh
dấu các đối tượng là authoritative sẽ thay đổi số thứ tự cập nhật của đối
tượng đó cao hơn bất kì số thứ tự cập nhật nào khác trong khi đồng bộ hệ
thống Active Directory. Điều này đảm bảo rằng mọi dữ liệu mà bạn khôi
phục sẽ được đồng bộ trong toàn hệ thống.
Khi máy chủ quản trị miền được khôi phục về trạng thái trực tuyến và kết
nối vào hệ thống mạng, các tác vụ đồng bộ thông thường sẽ đưa các dữ liệu
trong máy chủ quản trị miền này cập nhật với các thay đổi trong các máy
chủ quản trị miền khác mà không bị ghi đè bởi nó đã được khôi phục kiểu
authoritative. Việc đồng bộ đồng thời cũng phân tán các đối tượng đã được
khôi phục sang các máy chủ quản trị miền khác trong forest. Các đối tượng
đã từng bị xóa được đánh dấu là authoritative sẽ được đồng bộ từ máy chủ
quản trị miền được khôi phục tới các máy chủ quản trị miền khác. Bởi vì các
đối tượng được khôi phục có cùng thuộc tính đối tượng nên khả năng bảo
mật được giữ nguyên và sự phụ thuộc của các đối tượng sẽ được duy trì.
Ví dụ, giả sử bạn sao lưu hệ thống vào này thứ Hai và sau đó tạo một người
dùng mới tên là Jeff Smith vào thứ Ba, thông tin này sẽ dược đồng bộ với
các máy chủ quản trị miền khác trong miền. Sau đó, vào ngày thứ Tư, bạn
vô tình xóa đối tượng người dùng Nancy Anderson. Để khôi phục người
dùng Nancy Anderson mà không phải tạo lại các thông tin và không mất tài
khoản của Jeff Smith, bạn tiến hành khôi phục nonauthoritative máy chủ
quản trị miền với bản sao lưu System State được tạo trong ngày thứ Hai. Sau
đó, sử dụng Ntdsutil.exe bạn sẽ đánh dấu đối tượng người dùng Nancy
Anderson là authoritative và khởi động lại máy chủ quản trị miền này. Kết
quả là đối tượng Nancy Anderson được khôi phục mà không tác động gì đến
tài khoản Jeff Smith.
LƯU Ý.Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 chỉ ra
rằng học viên phải có khả năng “sao lưu các file và dữ liệu System
State sang các phương tiện lưu trữ”
TỔNG KẾT
• Một giải pháp sao lưu mạng bao gồm phần cứng sao lưu, phần mềm
sao lưu và kế họach sử dụng chúng.
• Khi bạn đánh giá một phần cứng sao lưu, tốc độ cao hơn và dung
lượng lớn hơn gần như có nghĩa là giá sẽ đắt hơn.
• Băng từ là phương tiện sao lưu thông dụng nhất để sao lưu bởi băng
từ có tốc độ sao lưu nhanh, không đắt và chứa được rất nhiều dữ liệu.
Các ổ băng từ có rất nhiều loại khác nhau về tốc độ, dung lượng và
khoảng giá cả để phù hợp với các nhu cầu cài đặt khác nhau.
• Chức năng chính của phần mềm sao lưu là cho phép người quản trị
mạng có thể lựa chọn các mục tiêu để sao lưu và sau đó chuyển dữ
liệu này đến các băng từ hoặc các thiết bị khác.
• Các tác vụ sao lưu Incremental và differential sẽ tiết kiệm băng từ
bằng cách chỉ sao lưu các file mà thay đổi từ lần sao lưu cuối cùng,
dựa trên tình trạng của bit lưu trong mỗi file.
• Một phần mềm sao lưu tốt cho phép bạn lập lịch sao lưu để chạy vào
bất kỳ thời điểm nào và nó duy trì phiên bản mục lục của tất cả các
file sao lưu trên cả băng từ và trên đĩa cứng
• Phần mềm sao lưu mạng cho phép bạn sao lưu mọi dữ liệu trong các
máy tính trong mạng của bạn và cũng cung cấp các tính năng tiên tiến
ví dụ như sao lưu các CSDL trực tuyến.
• Để sao lưu Windows registry, CSDL Active Directory và các tài
nguyên hệ thống khác, bạn phải sao lưu đối tượng System State.
• Volume shadow copy là một tính năng của Windows Server 2003 cho
phép nười dùng có thể truy cập các bản sao khác nhau của các file mà
họ đã vô tình xóa mất hoặc bị hỏng
• Khi bạn khôi phục dữ liệu System State trong chế độ
nonauthoritative, mọi thành phần trong dữ liệu System State mà được
đồng bộ với các máy chủ quản trị miền khác, ví dụ như CSDL Active
Directory, sẽ được cập nhật bởi quá trình đồng bộ sau khi bạn khôi
phục.
• Khi bạn khôi phục dữ liệu System State trong chế độ Authoritative,
các thay đổi sau khi sao lưu lần cuối cùng sẽ không được khôi phục,
các đối tượng bị xóa sẽ được phục hồi và đồng bộ. Để thực hiện khôi
phục authoritative, bạn sử dụng tiện ích dòng lệnh Ntdsutil.exe.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
182
SAO LƯU VÀ PHỤC HỒI DỮ LIỆU
Bài tập thực hành 4-3. Kích hoạt Volume Shadow Copy
1. Trong bài tập thực hành này, bạn kích hoạt tính năng volume shadow
copy trong ổ đĩa C: của máy tính.
2. Đăng nhập vào máy tính Windows Server 2003 bằng tài khoản
Administrator
3. Nhấn Start, trỏ vào All Programs, chọn Accessories, và chọn
Windows Explorer. Cửa sổ Windows Explorer xuất hiện
4. Mở rộng đối tượng My Conputer trong khung phạm vi, lựa chọn
Local Disk (C:), và từ thực đơn File, lựa chọn Properties. Hộp thoại
Local Disk (C:) Properties xuất hiện
5. Lựa chọn thẻ Shadow Copy và nhấn Enable. Hộp thông báo Enable
Shadow Copy xuất hiện
6. Đọc cảnh báo và nhấn Yes. Sau một khoảng thời gian trễ, ngày và giờ
xuất hiện trong danh sách Shadow Copies Of Selected Volume, chỉ
định rằng hệ thống đã tạo ra bản shadow copy đầu tiên
1. Tổng dung lượng xấp xỉ của dữ liệu thay đổi thường xuyên mà bạn
phải sao lưu mỗi ngày là bao nhiêu ?
a. 60 GB
b. 160 GB
c. 360 GB
d. 480 GB
2. Giả định rằng bạn quyết định thực hiện sao lưu đầy đủ hàng tuần và
sao lưu incremental hàng ngày, dung lượng dữ liệu xấp xỉ từ 6 máy
chủ Web mà bạn mong đợi tìm thấy trong mỗi băng từ sao lưu
Incremental là bao nhiêu? Giải thích câu trả lời của bạn.
3. Dựa trên các thông tin ở trên trong Bảng 4-1, kiểu băng từ nào phù
hợp nhất cho hệ thống mạng này, giả định rằng bạn muốn sử dụng chỉ
một băng từ đơn cho các tác vụ sao lưu Incremental hàng ngày ?
a. DLT
b. 8 mm
c. QIC
d. DAT
Khi sản phẩm phần mềm phát triển ngày càng phức tạp, số lượng của các sự
cố trong chương trình cũng có xu hướng tăng theo và tương ứng là số lượng
các bản vá lỗi. Một số sản phẩm, thông thường là các hệ điều hành, có thể có
hàng tá các bản vá lỗi được phát hành giữa các lần nâng cấp. Việc cập nhật
các chương trình và các hệ điều hành do đó thường làm tăng thêm các vấn
đề khó giải quyết bởi một số lý do sau:
• Số lượng các bản vá lỗi. Khi một sản phẩm phần mềm có số lượng
lớn các bản vá lỗi, nó sẽ trở nên khó khăn trong việc theo dõi xem các
bản vá nào đã được áp dụng và phiên bản nào của file sản phẩm đang
được sử dụng trong lần cài đặt nào.
• Thứ tự của các bản vá. Khi các bản vá được áp dụng theo các thứ tự
khác nhau, kết quả là cấu hình phần mềm có thể thay đổi, điển hình là
việc một sản phẩm có nhiều bản vá sẽ chứa các phiên bản khác nhau
của cùng một file.
và đóng gói lại thành một khối đơn lẻ. Một chương trình cài đặt đơn sẽ áp
dụng tất cả các bản cập nhật cùng một lúc, thống nhất một cấu hình phần
mềm cho mọi máy tính mà trên đó bản service pack được áp dụng.
Các bản service pack đơn giản quá trình cập nhật cho tất cả mọi người tham
gia. Đối với Microsoft, phát hành các bản cập nhật trong một bản service
pack có nghĩa là có thể kiểm tra toàn bộ gói phần mềm này thay cho việc
phải kết hợp việc kiểm tra rất nhiều các bản vá khác nhau lại. Đối với người
quản trị hệ thống và người dùng cuối, quá trình cài đặt sẽ được giảm bớt và
chỉ cần chạy một chương trình đơn thay cho tiến hành cài đặt rất nhiều lần
các bản vá riêng biệt. Đối với các nhân viên hỗ trợ kĩ thuật, quá trình giải
quyết sự cố cũng đơn giản hơn bởi vì họ không gặp phải tình trạng một số
lượng lớn các bản vá đã được cài đặt theo bất kỳ thứ tự nào. Dễ dàng xác
định được bản service pack nào đã được cài đặt trên một máy tính Windows
Server 2000, Windows XP hay Windows Server 2003 bằng cách nhìn vào
thẻ General trong hộp thoại System Properties (Thể hiện trong Hình 5-1)
một hệ điều hành Windows hoặc một sản phẩm nào đó của Microsoft, bạn
chỉ phải áp dụng bản service pack gần đây nhất.
Một lúc nào đó, nếu bạn chỉnh sửa cấu hình phần cứng hoặc phần mềm trong
một máy tính chạy Windows NT, bạn sẽ phải cài đặt lại bản service pack
mới nhất để áp dụng phần mềm cập nhật cho các thành phần đã được cài đặt.
Tuy nhiên, bắt đầu từ Windows Server 2000, điều này không còn cần thiết
nữa. Chương trình cài đặt service pack ngày nay lưu vị trí của các file
cabinet (.cab) chứa tất cả các trình điều khiển đã được cập nhật cho máy tính
cũng như các file thông tin được gọi là Layout.inf. Điều này để đảm bảo bất
cứ khi nào bạn cài đặt lại các thành phần hệ điều hành mới, kể cả là các trình
điều khiển thiết bị, một ứng dụng hay một dịch vụ, hệ thống sẽ sử dụng các
phiên bản mới nhất của các file từ các bản service pack đã phát hành.
Không giống như các bản service pack, mà Microsoft yêu cầu cài đặt trên
mọi máy tính, các bản hotfix thường được áp dụng cho các máy tính bị một
sự cố đặc biệt nào đó hoặc chạy một cấu hình phần cứng hoặc phần mềm đặc
biệt. Bạn phải luôn luôn làm quen với chức năng của các bản hotfix và điều
kiện để sử dụng trước khi cài đặt nó vào các máy tính.
quản trị mạng rất khó tính trong việc áp dụng các bản service pack cho tới
khi họ thấy được sự ổn định mà chúng mang lại. Trong thực tế, một số người
dùng thích đợi đến bản service pack 3 được phát hành trước khi họ cài đặt
bản service pack 2.
Sự cẩn trọng này đã từng được coi là thích hợp với thời gian trước, tuy nhiên
bây giờ thì hoàn toàn không phải như vậy. Các bản service pack và hotfix
được phát hành thường xuyên để giải quyết các vấn đề về bảo mật ví dụ các
virus mới hoặc sâu máy tính khác, và việc triển khai các bản cập nhật này
đúng lúc là điều rất quan trọng. Tuy nhiên, nói như thế không có nghĩa là
nhất thiết mọi người dùng đều phải áp dụng tất cả các bản cập nhật này ngay
lập tức sau khi nó được phát hành.
Đối với các máy tính đơn, trang Web Windows Update sẽ làm cho quá trình
tải và áp dụng các bản cập nhật trở nên dễ dàng hơn và trong hầu hết các
trường hợp, bạn có thể gỡ cài đặt các bản cập nhật của Microsoft khi cần. Do
đó, hầu hết người dùng đều có thể áp dụng các bản cập nhật một cách an
toàn ngay sau khi chúng được phát hành. Tuy nhiên trong một môi trường
mạng lớn, quyết định bản cập nhật nào cần được cài đặt và khi nào phải cài
đặt sẽ không thể tùy thuộc vào người dùng. Người quản trị mạng phải chịu
trách nhiệm lấy các bản cập nhật về sau khi chúng được phát hành và triển
khai chúng trong mạng của mình đúng lúc. Tuy nhiên người quản trị mạng
không cần thiết phải cài đặt mọi bản cập nhật ngay lập tức sau khi nó được
phát hành. Điều rất quan trọng là bạn phải kiểm tra các bản cập nhật này
trước và đó là lý do tại sao một doanh nghiệp phải có các chính sách cập
nhật được thiết lập trước trong hệ thống của mình.
Chính sách cập nhật phần mềm được thiết kế để hỗ trợ quản trị mạng trong
việc tiến hành các tác vụ sau:
• Duy trì khả năng nhận biết các bản cập nhật mới dược phát hành.
Microsoft thường xuyên phát hành các bản cập nhật mà có thể cần
thiết áp dụng hoặc không trong hệ thống mạng của bạn. Quản trị mạng
phải biết được các bản cập nhật mới khi chúng được phát hành và phải
hiểu mỗi bản cập nhật đề cập và giải quyết những vấn đề gì.
• Xác định máy tính nào cần phải cập nhật. Trong một số trường
hợp, một bản cập nhật có thể chỉ áp dụng cho các máy tính thực hiện
một chức năng nhất định, sử dụng một ứng dụng hoặc tính năng đặc
biệt nào đó, hoặc có một thành phần phần cứng đặc biệt. Các quản trị
mạng phải hiểu được chức năng cụ thể của mỗi lần phát hành và xác
định được máy tính nào cần bản cập nhật đó.
• Kiểm tra các bản cập nhật phát hành trên các cấu hình máy tính
khác nhau. Một bản cập nhật phần mềm có thể gây ra sự trục trặc
trong hoạt động của một máy tính đơn. Điều này có thể chỉ gây ra
phiền phức cho chính máy tính này, tuy nhiên trong một hệ thống
mạng lớn, nó có thể gây ra một thảm họa. Quản trị mạng phải tiến
hành các biện pháp kiểm tra của riêng mình đối với các bản cập nhật
trước khi triển khai chúng cho toàn hệ thống mạng.
• Triển khai các bản cập nhật trên một mạng có qui mô lớn. Việc
cài đặt các bản cập nhật một cách thủ công trên hàng trăm máy tính
yêu cầu rất nhiều thời gian, công sức và chi phí. Để triển khai các bản
cập nhật trên một mạng lớn một cách hiệu quả, quá trình này phải
được tự động hóa.
Microsoft cung cấp các công cụ hỗ trợ quản trị mạng hoàn thành các tác vụ
này, ví dụ như các công cụ được trình bày trong các phần sau đây của
chương trình.
LƯU Ý. Hfnetchk.exe. MBSA là chương trình thay thế tiện ích kiểm
tra cập nhật trước kia của Microsoft có tên Hfnetchk.exe, tiện ích
này thực hiện từ giao diện dòng lệnh và chỉ kiểm tra các bản cập
nhật còn thiếu trong máy tính. MBSA bao gồm tất cả các tính năng
của Hfnetchk.exe, bao gồm cả giao diện dòng lệnh, trong đó bạn có
thể kích hoạt bằng cách chạy file chạy Mbsacli.exe với tham số /hf.
Điều này cho phép người quản trị tiếp tục sử dụng các file bó
(batch) và các kịch bản (script), kết hợp với dòng lệnh Htnetchk.exe
với rất ít chỉnh sửa.
• Các điểm yếu của Tài khoản. MBSA kiểm tra xem liệu tài khoản
Guest có được kích hoạt trong máy tính hay không, liệu có nhiều hơn
hai tài khoản có quyền Administrator, liệu các người dùng ẩn danh
(anonymous) có quá nhiều quyền truy cập đến các thông tin hệ thống
hay không và liệu máy tính có sử dụng tính năng Autologon.
• Mật khẩu không hoàn chỉnh. MBSA kiểm tra mật khẩu của các tài
khoản máy tính để xem liệu chúng có cấu hình giới hạn thời gian hiệu
lực của mật khẩu không, có là mật khẩu trống hoặc quá đơn giản
không. Việc kiểm tra này không được thực hiện trên các máy chủ
quản trị miền.
• Các điểm yếu của hệ thống file. MBSA kiểm tra xem liệu các ổ đĩa
trên máy tính có sử dụng hệ thống file NTFS hay không.
• Các điểm yếu của các ứng dụng IIS và SQL. Nếu máy tính chạy
dịch vụ IIS hay SQL, MBSA kiểm tra các ứng dụng này để xem có
các điểm yếu bảo mật không.
Bên cạnh đó, MBSA còn hiển thị các thông tin khác về các vấn đề bảo mật
trên máy tính, ví dụ như danh sách các chia sẻ trên mạng, số phiên bản của
hệ điều hành Windows và liệu việc kiểm định (audit) có được kích hoạt hay
không.
LƯU Ý. Tải MBSA. MBSA không đi kèm trong hệ điều hành
Windows Server 2003, tuy nhiên nó lại có thể tải về miễn phí từ
trang Web của Microsoft.
MBSA là một công cụ thông tin mà có thể hiển thị các thông tin bảo mật của
máy tính, tuy nhiên nó không thể thực hiện bất kể một hành động nào để giải
quyết các điểm yếu dễ bị tấn công mà nó tìm thấy. Bạn có thể sử dụng
MBSA để xác định xem bản cập nhật bảo mật nào cần thiết để cài đặt trên
các máy tính nhất định, tuy nhiên để xây dựng một chính sách cập nhật hiệu
quả, bạn phải triển khai hệ thống theo dõi xem các bản cập nhật nào đã được
cài đặt trên các máy tính trong doanh nghiệp.
cập nhật này gây ra sự cố trên tất cả các máy tính trong mạng, thiệt hại
về năng suất và gánh nặng cho các nhân viên hỗ trợ kĩ thuật có thể là
rất lớn.
LƯU Ý. Windows Update và Software Update Service. Hạn chế liệt
kê ở đây khi sử dụng Windows Update giả định rằng máy tính được
cấu hình để truy cập Web site Windows Update trên Internet. Tuy
nhiên, cũng có thể cấu hình Windows Update để truy cập đến các
bản cập nhật phần mềm này từ một máy chủ SUS trong mạng nội bộ.
Việc làm này sẽ giảm thiểu các vấn đề về sử dụng băng thông và vấn
đề thử nghiệm. Bạn có thể học thêm về SUS trong phần sau của
chương này.
Hình 5-4: Thẻ Automatic Updates trong hộp thoại System Properties
Khi bạn cấu hình Automatic Update, bạn có thể lựa chọn một trong ba lựa
chọn sau đây:
• Notify Me Before Downloading Any Updates And Notify Me
Again Before Installing Them On My Computer (Thông báo cho
tôi trước khi tải bất kỳ bản cập nhật nào và thông báo cho tôi lần
nữa trước khi cài đặt chúng trên máy tính). Khi các bản cập nhật
đã sẵn sàng, máy tính sẽ tạo ra một mục trong nhật ký Hệ thống (mà
bạn có thể truy cập bằng Event Viewer) và thông báo cho quản trị hệ
thống bằng một hình quả bóng bay trong khay tác vụ
• Download The Updates Automatically And Notify Me When They
Are Ready To Be Installed (Tải các bản cập nhật tự động và
thông báo cho tôi khi chúng đã sẵn sàng để cài đặt). Máy tính sẽ tải
tự động các bản cập nhật từ Web site Windows Update ngay khi
chúng được phát hành, sử dụng dịch vụ Background Intelligent
Transfer Service (BITS – Dịch vụ Vận chuyển Thông minh Dưới nền)
để tiến hành việc truyền file khi băng thông mạng rỗi rãi. BITS đảm
bảo rằng hiệu năng hệ thống không bị ảnh hưởng bởi việc truyền file.
Phần mềm máy khách Automatic Update sẽ xác nhận chữ ký số của
Microsoft trên các file được tải, Thực hiện việc xác nhận CRC
(Cyclical Redundancy Check – một bit đặc biệt trong mỗi gói tin được
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
199
DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
gửi, đảm bảo cho gói tin là nguyên vẹn trong suốt quá trình vận
chuyển) trên mỗi gói cài đặt và thông báo quản trị mạng về sự hiện
diện của chúng bằng cách ghi một mục vào nhật ký Hệ thống và hiển
thị một hình quả bóng trên khay tác vụ. Người quản trị sau đó sẽ lựa
chọn các bản cập nhật để cài đặt từ danh sách các bản đã tải về được.
• Automatically Download The Updates, And Install Them On The
Schedule That I Specify (Tải tự động các bản cập nhật và cài đặt
chúng theo lịch mà tôi đã chỉ định). Máy tính sẽ tải các bản cập nhật
từ site Windows Update ngay khi chúng được phát hành, sử dụng
BITS, và cài đặt chúng theo thời gian xác định hàng ngày hoặc hàng
tuần. Nếu người quản trị mạng đăng nhập vào máy tính tại thời điểm
trong lịch, một thông báo hiển thị số đếm ngược hiện ra trước khi cài
đặt và người quản trị mạng có thể lựa chọn lùi việc cài đặt đến thời
điểm tiếp theo trong lịch. Nếu một người dùng không phải là quản trị
mạng đăng nhập vào, một hộp thoại cảnh báo xuất hiện nhưng người
dùng không thể lùi việc cài đặt. Nếu không có người dùng nào đăng
nhập vào, việc cài đặt sẽ được thực hiện tự động. Nếu các bản cài đặt
cập nhật yêu cầu hệ thống khởi động, một thông báo với bộ đếm lùi
năm phút xuất hiện, thông báo người dùng về việc khởi động sắp xảy
ra. Chỉ có người quản trị mạng mới có thể hủy bỏ việc khởi động này.
gỡ cài đặt bản service pack này sau đó nếu cần. Sau khi quá trình cài đặt
hoàn thành, bạn sẽ được nhắc nhở để khởi động máy tính.
• /D:Tên folder. Theo mặc định, chương trình cài đặt sẽ tạo ra các bản
sao lưu của tất cả các file mà nó bị ghi đè trong folder gọi là
$ntservicepackuninstall$. Khóa chuyển này cho phép bạn chỉ định
một tên folder khác để chứa các file sao lưu.
• /F. Chương trình cài đặt sẽ đóng tất cả các chương trình đang mở mà
không lưu các dữ liệu khi nó khởi động máy tính sau khi quá trình cài
đặt hoàn thành.
• /L.hiển thị một danh sách các hotfix đã được cài đặt trong máy tính
• /N Không cho chương trình cài đặt tạo ra các bản sao lưu của các file
bị ghi đè trong quá trình cài đặt
• /O Chương trình cài đặt sẽ ghi đè các file thông tin về nhà sản xuất
thiết bị gốc (OEM) trong quá trình cài đặt mà không thông báo với
người dùng.
• /Q. Chạy chương trình cài đặt trong chế độ không hiển thị. Trong chế
độ này, chương trình cài đặt sử dung các giá trị mặc định cho các lựa
chọn, tuy nhiên không hiển thị thanh tiến trình hoặc bất kỳ thông báo
lỗi nào.
• /S:Tên folder. Kết hợp các file service pack với các file cài đặt của hệ
điều hành để tạo ra một bộ cài đặt tích hợp. Quá trình này còn được
gọi là slipstreaming. Tên folder là folder mà bạn chỉ định là đường
dẫn đến folder chứa các file cài đặt của hệ điều hành.
• /U. Quá trình cài đặt sẽ được thực hiện trong chế độ không cần giám
sát. Trong chế độ này, chương trình cài đặt sử dụng các giá trị mặc
định cho mọi lựa chọn và hiển thị thanh tiến trình, tuy nhiên chỉ các
thông báo lỗi nghiêm trọng mới làm dừng quá trình cài đặt này được.
• /X Việc nạp file chạy của service pack sẽ bung các file trong nó và
lưu chúng trong một cấu trúc thư mục i386 trên đĩa cứng mà không
chạy file Update.exe.
• /X:Tên folder. Việc nạp file chạy của service pack sẽ bung các file
trong nó và lưu chúng trong folder mà bạn chỉ định trên đĩa cứng mà
không chạy file Update.exe.
• /Z. Không cho quá trình cài đặt khởi động lại máy tính sau khi việc
cài đặt hoàn thành. Lựa chọn này được sử dụng thường xuyên khi bạn
có kế hoạch cài đặt các hotfix ngay sau khi cài service pack và muốn
hoãn việc khởi động lại cho tới khi hoàn thành việc cài đặt hotfix.
• /Q. Chạy chương trình cài đặt trong chế độ không hiển thị. trong chế
độ này, chương trình cài đặt sử dung các giá trị mặc định cho các lựa
chọn, tuy nhiên không hiển thị thanh tiến trình hoặc bất kỳ thông báo
lỗi nào.
• /U. Quá trình cài đặt sẽ được thực hiện trong chế độ không cần giám
sát. Trong chế độ này, chương trình cài đặt sử dụng các giá trị mặc
định cho mọi lựa chọn và hiển thị thanh tiến trình, tuy nhiên chỉ các
thông báo lỗi nghiêm trọng mới làm dừng quá trình cài đặt này được.
• /X Việc nạp file chạy của service pack sẽ bung các file trong nó và
lưu chúng trong một cấu trúc thư mục trên đĩa cứng mà không chạy
file Update.exe.
• /Z. Không cho phép quá trình cài đặt khởi động máy tính sau khi việc
cài đặt hoàn thành.
LƯU Ý. Kiểm tra các hotfix. Khi bạn cài đặt các bản hotfix,
chương trình cài đặt luôn luôn kiểm tra xem bản service pack nào
đã từng được cài đặt trong máy tính. Nếu bản hotfix bạn đang cài
đặt là cũ hơn bản service pack hiện tại đang có trong máy tính, quá
trình cài đặt sẽ bị dừng bởi vì bản hotfix luôn được áp dụng như là
một phần của bản service pack. Nếu bản hotfix là mới hơn bản
service pack hiện tại trong máy tính, quá trình cài đặt sẽ được thực
hiện.
WindowsServer2003-KB8239811-x86-ENU.exe /U
Lưu ý rằng lệnh cài đặt 2 hotfix đầu tiên trong file bó nói trên bao gồm khóa
chuyển /Z, ngăn không cho khởi động hệ thống trong khi dòng lệnh cuối lại
không có khóa chuyển này để máy tính có thể khởi động lại sau khi tất cả
các hotfix đã được cài đặt xong. Cả ba dòng lệnh này đều có khóa chuyển
/U, khóa này không cho phép chương trình tạm dừng để nhận thông tin nhập
vào của người dùng.
Bạn có thể tích hợp một quá trình cài đặt service pack trong một file bó, điều
này sẽ cho phép tự động hóa toàn bộ quá trình cập nhật như sau:
Update.exe /Z /U
WindowsServer2003-KB8239809-x86-ENU.exe /Z /U
WindowsServer2003-KB8239810-x86-ENU.exe /Z /U
WindowsServer2003-KB8239811-x86-ENU.exe /U
hành từ folder phân phối này và các file service pack sẽ được cài đặt đồng
thời trong cùng thời điểm này.
2. Bung các file trong file nén service pack vào một folder trong một
chia sẻ trên mạng
3. Nhấn Start, trỏ vào administrative Tools và nhấn vào Active
Directory Users And Computers. Bảng điều khiển Active Directory
Users And Computers xuất hiện
4. Lựa chọn biểu tượng miền trong khung Phạm vi và từ thực đơn
Action, lựa chọn Properties. Hộp thoại Properties của đối tượng miền
của bạn xuất hiện
5. Lựa chọn thẻ Group Policy và sau đó nhấn Edit. Bảng điều khiển
Group Policy Object Editor xuất hiện
6. Trong khung Phạm vi, mở rộng folder Computer
Configuration/Software Settings và lựa chọn biểu tượng Software
Installation
Mục User Configuration cũng có một folder Software Settings và
một biểu tượng Software Installation, tuy nhiên bạn không thể sử
dụng chúng để cài đặt một service pack. Bạn phải sử dụng mục
Computer Configuration
7. Trong thực đơn Action, trỏ vào New và lựa chọn Package. Một hộp
thoại Open xuất hiện
8. Nhập vào đường dẫn đầy đủ của file Windows Installation Package
Update.msi trong folder con Update của folder chia sẻ của bạn. Một
hộp thoại Deploy Software xuất hiện.
Hãy chắc chắn rằng đang bạn sử dụng tên Universal Naming
Convention (UNC) của đường dẫn đến file đóng gói, chứ không phải
bằng các ký tự ổ đĩa. Ví dụ, bạn có thể sử dụng
\\Server01\d$\sp1\i386\update\update.msi nhưng không thể là
D:\sp1\i386 \update\update.msi.
9. Nhấn vào OK để chấp nhận lựa chọn mặc định Assigned. Gói phần
mềm cài đặt của bản service pack xuất hiện trong khung Chi tiết (Thể
hiện trong hình 5-6).
Hình 5-6. Bảng điều khiển Group Policy Object Editor với một gói cài đặt
service pack
Lần khởi động sau của các máy tính trong miền, hệ thống sẽ tải file cài đặt
service pack từ folder chia sẻ nói trên để cài đặt chúng.
Như đã đề cập ở phần trên của chương, việc người dùng tự tải và cài đặt các
bản cập nhật hệ điều hành bằng cách sử dụng Web Site Windows Update là
lãng phí thời gian và băng thông. SUS về bản chất là một phiên bản intranet
của Web Site Windows Update, cho phép giảm thiểu nhu cầu tải bản cập
nhật cho phần mềm cho mỗi máy tính từ Internet và giúp người quản trị
không phải triển khai các bản cập nhật một cách thủ công trên các máy tính.
Người quản trị có thể điều khiển bản cập nhật nào áp dụng vào các máy tính
trên mạng và khi nào thì quá trình này xảy ra, cho phép tự động hóa quá
trình này do đó việc cập nhật có thể hoàn thành mà người dùng không hề
hay biết
SUS bao gồm các thành phần sau đây:
• Máy chủ đồng bộ. Một máy tính chạy SUS, đóng vai trò như một
máy chủ đồng bộ, sẽ tải các bản cập nhật phần mềm từ Web Site
Windows Update ngay sau khi chúng được phát hành. Người quản trị
có thể cho phép việc tải này diễn ra nếu cần, lập lịch cho chúng diễn
ra tại các thời điểm xác định (ví dụ như thời điểm hết giờ làm việc)
hoặc có thể kích hoạt việc này một cách thủ công. Khi mà máy chủ
SUS tải các bản cập nhật, nó lưu chúng trên máy chủ. Điều này giảm
thiểu việc quản trị mạng liên tục kiểm tra Web Site Windows Update
để tìm kiếm các bản mới phát hành.
• Máy chủ Intranet Windows Update. Khi máy chủ SUS đã tải các
bản cập nhật, người quản trị phải quyết định liệu máy chủ có triển
khai chúng trên mạng ngay lập tức hoặc lưu chúng lại để thử nghiệm
và triển khai sau. Khi các bản cập nhật đã sắn sàng để triển khai, chức
năng của SUS như là máy chủ Windows Update cho các máy tính trên
mạng ngoại trừ việc nó là máy chủ trong mạng intranet và không yêu
cầu người dùng kết nối ra Internet.
• Automatic Update. Automatic Update là một tính năng của hệ điều
hành Windows cho phép máy tính tải và cài đặt các bản cập nhật phần
mềm mà không cần người dùng tác động. Bạn có thể cấu hình tính
năng này trên máy trạm để các máy này có thể nhận các bản cập nhật
từ một máy chủ SUS trong mạng nội bộ hơn là từ Web site Windows
Update, do đó hạn chế việc cập nhật sử dụng chỉ các bản cập nhật mà
người quản trị mạng cho phép.
LẬP KẾ HOẠCH. Các yêu cầu hệ điều hành của SUS. SUS chỉ
chạy trên các hệ điều hành Windows Server 2003 và Windows
Server 2000 với service pack 2 hoặc hơn. Các máy khách sử dụng
SUS phải chạy trên nền hệ điều hành Windows Server 2003,
Windows 2000 hoặc Windows XP
trong một chế độ thử nghiệm trước khi phê chuẩn chúng cho các máy
khách truy cập.
4. Cấu hình Automatic Updates trên các máy khách. Sử dụng các
chính sách nhóm, bạn có thể cấu hình tính năng Automatic Update
trên các máy khách để lấy các bản cập nhật về từ máy chủ SUS chứ
không phải từ Web site Windows Update
các ngôn ngữ có sẵn hoặc lựa chọn một số ngôn ngữ cụ thể. Tham số
này được cấu hình chỉ khi bạn lựa chọn lưu các bản cập nhật nội bộ.
• Các thiết lập phê chuẩn bản cập nhật. Khi SUS tải phiên bản mới
của một bản cập nhật mà đã được phê chuẩn, thiết lập này chỉ định
liệu phiên bản mới này có được phê chuẩn một cách tự động hay đợi
đến khi được phê chuẩn một cách thủ công.
LƯU Ý. Các địa chỉ URL của SUS. Khi trình cài đặt kết thúc, nó
hiển thị một URL cho giao diện quản trị của máy chủ SUS và URL
mà máy khách phải sử dụng để nhận được các bản cập nhật từ máy
chủ. Hãy lưu ý đến các URL này bởi vì bạn sẽ cần chúng để quản trị
máy chủ và cấu hình các máy khách.
Trình Microsoft Software Update Services Setup Wizard cài đặt ba thành
phần sau đây vào máy chủ:
• Dịch vụ Software Update Synchronization Service, dịch vụ này tải nội
dung bản cập nhật về máy chủ SUS
• Một Web site sử dụng IIS phục vụ cho các yêu cầu cập nhật của các
máy khách có đặt chế độ Automatic Update
• Một trang Web quản trị SUS, từ đó bạn có thể tiến hành đồng bộ máy
chủ SUS và phê chuẩn các bản cập nhật.
Khi quá trình cài đặt kết thúc, Internet Explorer hiển thị giao diện quản trị
Web của SUS
LƯU Ý. Cấu hình các tính năng bảo mật tiên tiến của Internet
Explorer. Bạn có thể cần phải thêm máy chủ của bạn vào trong
danh sách các site nội bộ mạng intranet được tin cậy để truy cập site
này. Mở Internet Explorer và lựa chọn Internet Option từ thực đơn
Tool. Lựa chọn thẻ Security, lựa chọn Trusted Site và nhấn vào
Sites. Thêm tên máy chủ của bạn vào danh sách các site tin cậy.
Đồng bộ SUS
Hai tác vụ quản trị chính cho máy chủ SUS là đồng bộ máy chủ và phê
chuẩn các bản cập nhật. Khi bạn nhấn vào siêu liên kết Synchronize Server
trong trang quản trị chính, bạn sẽ thấy một giao diện như Hình 5-8. trong
trang này, bạn có thể lập lịch đồng bộ để việc này diễn ra theo một lịch đều
đặn hoặc kích hoạt chúng một cách thủ công.
Hình 5-12. Các chính sách Windows Update trong bảng điều khiển
Group Policy Object Editor
Các chính sách như sau:
• Cấu hình Automatic Update. Chỉ định hoạt động mặc định của phần
mềm máy khách Automatic Update sử dụng một trong ba lựa chọn
sau: Notify For Download And Notify For Install, Auto Download
And Notify For Install, và Auto Download And Schedule The Install
(Thông báo để tải và thông báo để cài đặt, Tự động tải và thông báo
để cài đặt và Tự động tải và lập lịch cài đặt). Các lựa chọn này bạn
cũng có thể cấu hình trong thẻ Automatic Update của hộp thoại
System Properties trên máy khách.
• Chỉ định máy chủ Intranet Microsoft Update Service. Chỉ định
máy chủ mà từ đó các máy khách truy cập các bản cập nhật của
Windows. Đây là chính sách cho phép bạn hướng các phần mềm máy
khách Automatic Update vào một máy chủ SUS thay cho việc sử
dụng Web site Windows Update. Trong hộp thoại Set The Intranet
Update Service For Detecting Updates (Thiết lập máy chủ dịch vụ
cập nhật Intranet để phát hiện các bản cập nhật), bạn nhập vào URL
của máy chủ SUS mà trình cài đặt Microsoft Software Update Server
Setup Wizard đã cung cấp cho bạn trong quá trình cài đặt. Theo mặc
định, máy trạm ghi nhật ký lại các tương tác giữa nó và máy chủ SUS,
nơi mà nó lấy các bản cập nhật về. Tuy nhiên chính sách này cũng
đồng thời cho phép bạn trỏ máy trạm vào một máy chủ IIS khác để
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
217
DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
ghi nhật ký thống kê. Điều này sẽ cho phép máy khách lấy các bản
cập nhật từ một máy chủ SUS nội bộ trong khi lại ghi nhật ký các hoạt
động của nó vào một máy chủ trung tâm đơn nào đó để dễ dàng thu
hồi và phân tích các dữ liệu nhật ký. Nhật ký IIS được đặt trong folder
systemroot\System32\Logfiles\W3svc1
• Reschedule Automatic Updates Scheduled Installations (Tái lập
lại lịch cài đặt Automatic Update trước đó). Nếu việc cài đặt được
lập lịch nhưng các máy tính khách lại tắt tại thời điểm đặt lịch, cách
thức hoạt động mặc định là đợi đến thời điểm tiếp theo trong lịch.
Trong chính sách này, nếu thiết lập giá trị là giữa 1 và 60, sẽ làm cho
Automatic Update tái sắp xếp lại lịch để việc cài đặt diễn ra sau một
số phút sau khi hệ thống khởi động lần tiếp theo.
• No Auto-Restart For Scheduled Automatic Updates Installations
(Không tự động khởi động lại khi cài đặt các bản cập nhật theo
lịch). Khi người dùng đăng nhập vào hệ thống, Automatic Update sẽ
yêu cầu khởi động lại hệ thống khi bản cập nhật được cài đặt. Thay
vào việc hệ thống tự khởi động, người dùng nhận được thông báo rằng
hệ thống cần khởi động để việc cài đặt được hoàn tất.
Khi bạn cấu hình GPO và các chính sách nhóm được áp dụng, phần mềm
máy khách Automatic Update sẽ truy vấn máy chủ SUS với khoảng thời
gian lặp 22 giờ, cộng với một khoảng dịch chuyển ngẫu nhiên (Để tránh sự
tăng cao đột ngột trong lưu lượng mạng). Sau khi máy khách tải các bản cập
nhật được phê chuẩn từ máy chủ SUS, chúng sẽ được cài đặt và cấu hình –
thủ công hoặc tự động – tại thời điểm được lập lịch trước. Nếu một bản cập
nhật đã được phê chuẩn mà sau đó lại không được phê chuẩn bởi quản trị
mạng, bản cập nhật đó sẽ không bị gỡ cài đặt nhưng nó không thể được cài
thêm nữa bởi bất kỳ máy khách nào khác. Các bản cập nhật được cài đặt
thông qua SUS có thể được gỡ cài đặt một cách thủ công, tuy nhiên phải sử
dụng Add Or Remove Programs trong Control Panel.
LƯU Ý. Các bản cập nhật quan trọng then chốt. Trong một số
trường hợp, một bản cập nhật sẽ giải quyết một vấn đề bảo mật then
chốt nào đó và quan trọng đến mức bạn không cần phải đợi đến khi
các máy khách truy vấn, tải và cài đặt. Trong trường hợp này, bạn
vẫn có thể tự cài đặt một cách thủ công.
Khi bạn cài đặt nhiều máy chủ SUS trong hệ thống mạng, bạn có thể cấu
hình chúng tương tác với nhau theo một trong bất kỳ các kiến trúc sau đây:
• Kiến trúc đa máy chủ. Mỗi máy chủ SUS sẽ đồng bộ nội dung của
nó từ trang Windows Update và quản trị danh sách các bản cập nhật
riêng của nó. Kiến trúc này cho phép người quản trị mỗi máy chủ có
thể điều khiển được bản danh sách cập nhật trong máy chủ đó và cũng
cho phép một doanh nghiệp có thể duy trì rất nhiều các bản vá và các
cấu hình cập nhật.
• Kiến trúc cha/con chặt chẽ. Một máy chủ SUS mức cha sẽ đồng bộ
nội dung của nó từ Web Site Windows Update và lưu các bản cập
nhật trong folder nội bộ. Người quản trị SUS sau đó sẽ phê chuẩn các
bản cập nhật này để áp dụng cho các máy khách. Các máy chủ SUS
khác trong doanh nghiệp sẽ đồng bộ từ máy chủ mức cha và được cấu
hình để đồng bộ cả các file cập nhật và bản danh sách các bản cập
nhật được phê chuẩn. Các máy khách có thể lấy các bản cập nhật từ
máy chủ SUS gần nhất. Trong kiến trúc này, người quản trị của máy
chủ SUS mức con không thể phê chuẩn hoặc không phê chuẩn các bản
cập nhật, tác vụ này chỉ được thực hiện trên máy chủ SUS mức cha.
• Kiến trúc cha/con lỏng lẻo. Máy chủ SUS mức cha đồng bộ nội dung
của nó từ Windows Update và lưu các bản cập nhật này trên folder nội
bộ. Các máy chủ SUS khác trong doanh nghiệp đồng bộ từ máy chủ
mức cha này. Không giống như trong cấu hình chặt chẽ, các máy chủ
SUS thêm vào này không đồng bộ danh sách các bản cập nhật được
phê chuẩn, do đó người quản trị mạng của mỗi máy chủ có thể phê
chuẩn hoặc không đối với các bản cập nhật này một cách độc lập. Mặc
dù kiến trúc này tăng công việc quản trị nhưng nó rất hữu ích khi một
doanh nghiệp muốn tối ưu hóa việc sử dụng Internet và yêu cầu phân
phối quyền phê chuẩn các bản cập nhật, các bản vá lỗi và các cấu hình
cập nhật.
SUS sử dụng kiến trúc đa máy chủ theo mặc định. Để triển khai một kiến
trúc cha/con, bạn truy cập trang Set Option (Thiết lập lựa chọn) trong trang
quản trị máy chủ SUS và cấu hình lựa chọn Select Which Server To
Synchronize Content From (Lựa chọn máy chủ nào để đồng bộ nội dung).
Đối với kiến trúc cha/con, bạn có thể giữ nguyên các thiết lập mặc định trên
máy chủ SUS mức cha và cấu hình máy chủ mức con với lựa chọn
Synchronize From A Local Software Update Services Server (Đồng bộ từ
máy chủ dịch vụ cập nhật phần mềm nội bộ) là tên của máy chủ SUS mức
cha. Đối với kiến trúc cha/con chặt chẽ, bạn cũng lựa chọn Synchronize List
Of Approved Items Updated From This Location (Đồng bộ danh sách các
bản cập nhật được phê chuẩn từ nơi đây); đối với kiến trúc cha/con lỏng lẻo,
bạn có thể xóa bỏ lựa chọn này.
• Sẵn sàng cài đặt – lịch không định kỳ. Các bản cập nhật liệt kê
trong sự kiện này được tải và chờ cài đặt. Quản trị mạng phải nhấn
vào biểu tượng thông báo và nhấn Install
• Sẵn sàng cài đặt – lịch định kỳ. Các bản cập nhật liệt kê trong sự
kiện này đươc tải và sẽ được cài đặt vào ngày và giờ xác định ghi
trong sự kiện.
• Cài đặt thành cônng – Các bản cập nhật được liệt kê trong sự kiện
này đã được cài đặt thành công.
• Cài đặt thất bại. Các bản cập nhật liệt kê trong sự kiện này bị trục
trặc và không được cài đặt
• Yêu cầu khởi động lại – lịch không định kỳ. Một bản cài đặt yêu
cầu khởi động lại hệ thống. Nếu việc cài đặt được thiết lập là phải
thông báo thì quá trình khởi động lại phải được thực hiện thủ công.
Windows không thể tìm kiếm các bản cập nhật khác trước khi việc
khởi động lại được thực hiện.
• Yêu cầu khởi động lại – Lịch định kỳ. Khi Automatic Update được
cấu hình để tự động cài đặt các bản cập nhật, một sự kiện sẽ được ghi
lại nếu một bản cập nhật nào đó yêu cầu khởi động. Hệ thống sẽ khởi
động trong vòng 5 phút. Windows không thể tìm kiếm các bản cập
nhật mới cho đến khi khởi động xong
• Khởi động lại IIS. Nếu bạn không thể kết nối đến site quản trị hoặc
nếu máy khách không thể kết nối đến máy chủ SUS, khởi động lại
World Wide Web Publishing Service bằng cách sử dụng bảng điều
khiển Service.
Nhận Giấy phép Truy cập Máy khách (Client Access License –
CAL)
Giấy phép cho máy chủ Windows Server 2003 cho phép bạn cài đặt hệ điều
hành lên máy tính, tuy nhiên bạn còn cần Client Access License (Giấy
phép truy cập cho máy khách - CAL) trước khi người dùng hoặc thiết bị
có thể được xác thực một cách hợp pháp để kết nối đến máy chủ. CAL
thường được mua dưới dạng gói và có thể bao gồm trong bản mua hệ điều
hành. Ví dụ bạn thường thấy một bản Windows Server 2003 bán ra với một
gói giấy phép 5 hoặc 10 người dùng. Tuy nhiên, nếu hệ điều hành không bao
gồm bất kỳ một CAL nào, bạn phải mua chúng riêng biệt. Giữ lại các chứng
nhận CAL và EULA của bạn trong một kẹp tài liệu để đề phòng trường hợp
doanh nghiệp của bạn bị kiểm định xem có tuân thủ theo giấy phép hay
không.
LƯU Ý. Các giấy phép nâng cấp. Khi bạn nâng cấp một máy chủ từ
Windows NT hoặc Windows 2000 sang Windows Server 2003, bạn
phải mua CAL nâng cấp tương ứng.
Bạn phải mua CAL cho bất kỳ kết nối nào tới máy tính Windows Server
2003 mà sử dụng các thành phần của máy tính, bao gồm dịch vụ file và in ấn
hay xác thực. Rất ít ứng dụng máy chủ chạy độc lập mà kết nối máy
chủ/máy khách không yêu cầu CAL. Trường hợp ngoại lệ có ý nghĩa nhất
mà không yêu cầu CAL là các kết nối không xác thực được kiểm soát thông
qua Internet. Khi không có sự trao đổi thông tin xác thực trong quá trình truy
cập Internet, ví dụ như người dùng Internet duyệt các Web site một cách vô
danh, thì CAL là không cần thiết. Do đó cũng không yêu cầu CAL cho phiên
bản Web của Windows Server 2003.
Có hai loại CAL: Windows Device CAL(Giấy phép Truy cập theo Thiết bị),
loại này cho phép một thiết bị kết nối đến một máy chủ mà không quan tâm
đến số lượng người dùng có thể sử dụng thiết bị đó, và Windows User
CAL(Giấy phép Truy cập theo Người dùng), loại này cho phép một người
dùng kết nối đến một máy chủ từ rất nhiều thiết bị. Windows Device CAL có
lợi cho một doanh nghiệp mà có nhiều người dùng trên một thiết bị, ví dụ
như công nhân làm ca. Windows User CAL sử dụng cho hầu hết các doanh
nghiệp có nhân viên truy cập mạng từ rất nhiều thiết bị, kể cả các thiết bị
chưa từng được biết đến.
LƯU Ý. User CAL và Device CAL. Các công cụ giấy phép và giao
diện người dùng sẽ không phân biệt giữa Windows User và
Windows Device CAL. Một Device CAL được đăng ký gián tiếp, sử
dụng nhóm giấy phép
Số lượng các giấy phép CAL bạn yêu cầu và làm thế nào để có thể theo dõi
các giấy phép đó phụ thuộc vào chế độ giấy phép cho máy khách mà bạn có.
Có hai chế độ giấy phép: Giấy phép Per Server và giấy phép Per Device hay
Per User
sang chế độ giấy phép Per Device hay Per User khi bạn có thể thực hiện
điều này một cách thích hợp.
Cấp giấy phép kiểu truyền thống Cấp giấy phép kiểu truyền thống
trong chế độ Per Server khi có ít trong chế độ Per User hay Per
máy chủ và chúng yêu cầu truy cập Device khi có nhiều máy chủ và
giới hạn chúng yêu cầu các truy cập trường
Hình 5-14. Nhận biết và thay đổi máy chủ giấy phép của site bằng Active
Directory Sites and Services
Để gán vai trò máy chủ giấy phép của site cho một máy chủ khác hoặc máy
chủ quản trị miền, nhấn vào Change và lựa chọn máy tính muốn gán. Để
duy trì lịch sử của các giấy phép trong doanh nghiệp của bạn, bạn phải dừng
dịch vụ License Logging trên máy chủ giấy phép mới ngay lập tức sau khi
chuyển giao vai trò và sau đó sao chép các file sau đây từ máy chủ cũ sang
máy chủ giấy phép mới:
• Systemroot\System32\Cpl.cfg, trong đó chứa lịch sử việc mua bán của
doanh nghiệp
• Systemroot\Lls\Llsuser.lls, trong đó chứa thông tin người dùng về số
lượng kết nối
• Systemroot\Lls\Llsmap.lls, trong đó chứa các thông tin nhóm giấy
phép
Sau khi tất cả các file được sao chép, khởi động dịch vụ License Logging
Hình 5-15. Thẻ Server Browser trong công cụ quản trị Microsoft
Licensing
Thể Server Browser trong Licensing cho phép bạn quản lý bất kỳ máy chủ
nào trong bất kỳ site hoặc miền nào mà bạn có quyền quản trị. Bạn có thể
định vị máy chủ và quản lý các giấy phép của máy chủ đó bằng cách nhấn
phải chuột vào nó và lựa chọn Properties. Đối với các sản phẩm máy chủ
được cài đặt trong máy chủ đó, bạn có thể thêm hoặc bớt các giấy phép ở
chế độ Per Server. Bạn còn có thể chuyển đổi các chế độ giấy phép tại nơi
nào thích hợp. Hãy nhớ rằng chế độ giấy phép Per Server sẽ xuất ra một
giấy phép khi một người dùng nào đó kết nối đến sản phẩm máy chủ. Khi
một người dùng ngắt kết nối từ một sản phẩm máy chủ, dịch vụ License
Logging sẽ để cho giấy phép này sẵn sàng với người dùng khác.
Các thuộc tính của máy chủ còn cho phép bạn cấu hình việc đồng bộ các
giấy phép, trong đó bạn có thể cấu hình một máy chủ bằng cách sử dụng các
thuộc tính Licensing của nó trong Control Panel. Theo mặc định, các thông
tin về giấy phép được đồng bộ từ một máy chủ dịch vụ License Logging đến
máy chủ giấy phép của site cứ sau 24 giờ và hệ thống sẽ tự động bố trí việc
đồng bộ xen kẽ để tránh việc quá tải cho máy chủ giấy phép của site. Nếu
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
228
DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
bạn muốn điều khiển lịch đồng bộ hoặc tần suất xảy ra, bạn phải thay đổi
thời gian Start At và tần suất Start Every của mỗi máy chủ để đồng bộ với
máy chủ giấy phép của site cụ thể nào đó
Để quản lý các giấy phép Per Device hay Per User, nhấn vào Licensing
trong nhóm chương trình Administrative Tools và sau đó lựa chọn lệnh New
License từ thực đơn License. Trong hộp thoại New Client Access License
(Giấy phép truy cập cho máy trạm mới), lựa chọn sản phẩm máy chủ và số
giấy phép đã mua. Các giấy phép sẽ được thêm vào trong quĩ của các giấy
phép. Khi một thiết bị hoặc một người dùng kết nối đến bất cứ sản phẩm nào
trong site, chúng sẽ được phân chia một giấy phép từ quĩ này và mỗi giấy
phép là cho một thiết bị hoặc người dùng. Khi quĩ các giấy phép này được
phát hết, sự vi phạm giấy phép xảy ra khi bất kỳ một thiết bị hay người dùng
thêm vào nào truy cập đến sản phẩm.
Thẻ Purchase History (Lịch sử mua) trong Licensing (Thể hiện trong hình
5-16) cung cấp một cách nhìn tổng quát các giấy phép mua cho một site,
cũng như số lượng, ngày và các vấn đề quản trị liên quan đến việc thêm hay
bớt các giấy phép này.
Hình 5-16. Thẻ Purchase History trong công cụ quản trị Microsoft
Licensing
Để xem các thông tin tích lũy về các giấy phép và sự tuân thủ theo đúng giấy
phép hay không, lựa chọn thẻ Products View. thẻ này cho biết bao nhiêu
giấy phép đã được mua và phân chia cho người dùng hoặc thiết bị (trong chế
độ Per Device hay Per User) hoặc số lượng các giấy phép mua được cho các
máy chủ trong site và số lượng kết nối nhiều nhất trong ngày (trong chế độ
Per Server). Bạn cũng có thể xác định xem hoạt động có đúng như giấy
phép đã mua hay không bằng cách sử dụng các biểu tượng trạng thái giấy
phép thể hiện trong Bảng 5-2.
Bảng 5-2. Các ký tự trạng thái của giấy phép
Sản phẩm này đang tuân thủ đúng với yêu cầu giấy phép hợp
pháp. Số lượng kết nối ít hơn số lượng giấy phép đã mua
Sản phẩm này không tuân thủ đúng với yêu cầu giấy phép hợp
pháp. Số lượng kết nối vượt quá số lượng giấy phép đã mua
Sản phẩm này đã đạt đến mức ngưỡng hợp pháp. Số lượng các
kết nối bằng với số lượng giấy phép đã mua. Nếu một thiết bị
hoặc người dùng khác kết nối đến sản phẩm máy chủ, bạn phải
mua thêm và ghi nhật ký lại các giấy phép mới
Để tạo ra nhóm giấy phép, nhấn vào thực đơn Options và từ thực đơn
Advanced, lựa chọn New License Group. Nhập vào tên nhóm và cấp một
giấy phép cho mỗi thiết bị mà bạn sử dụng để kết nối đến máy chủ. Số lượng
của các giấy phép phân chia cho một nhóm sẽ tương ứng với số lượng thiết
bị sử dụng bởi thành viên của nhóm.
LƯU Ý. Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 yêu cầu
sinh viên có khả năng “quản lý giấy phép phần mềm của site”
TỔNG KẾT
• Microsoft phát hành các bản cập nhật cho hệ điều hành dưới dạng các
bản service pack và hotfix
• Một bản service pack là một tập hợp của các bản cập nhật mà đã được
kiểm thử cùng nhau và được phê chuẩn để cài đặt trong tất cả các máy
tính
• Một hotfix là một bản vá lỗi giải quyết một vấn đề đơn lẻ nào đó và
được giải thích trong một bài viết đi kèm của Microsoft Knowledge
Base. Các hotfix không cần thiết phải cài đặt trên tất cả các máy tính,
một số chỉ dành cho các máy tính thực hiện các tác vụ đặc biệt hoặc
gặp phải sự cố cụ thể nào đó.
• Các bản service pack có thể được lấy về từ Microsoft trên một đĩa CD
chỉ với một ít lệ phí hoặc có thể tải miễn phí trên Internet. Nếu các
bản service pack này là một file đơn, nó có thể được giải nén bằng
cách thực hiện file đó với khóa chuyển /X
• Các bản service pack có thể được triển khai một cách thủ công trên
mỗi máy tính, tích hợp trong bản cài đặt gốc của hệ điều hành
(slipstreamed) và có thể tự động cài đặt thông qua các chính sách
nhóm.
• Microsoft Software Update Services cho phép bạn tập trung và quản
lý các phê chuẩn và phân phối của các bản cập nhật then chốt trong
Windows cũng như các bản vá bảo mật của Windows. Một hay nhiều
máy chủ SUS chứa danh sách các bản cập nhật được phê chuẩn và bản
thân các file cập nhật, việc chứa các file cập nhật này là một tùy chọn
nhưng khá thông dụng, Phần mềm máy khách Automatic Update
được cấu hình, thông thường thông qua các GPO, để lấy các bản cập
nhật từ các máy chủ SUS trong intranet thay cho lấy trực tiếp từ
Microsoft Windows Update
• Theo dõi và quản lý các giấy phép và sự tuân thủ của người dùng là
một phần quan trọng của nhiệm vụ quản trị. Windows Server 2003
cho phép bạn cấp các giấy phép cho các kết nối đồng thời cho một
máy chủ cụ thể hoặc duy trì giấy phép cho mỗi thiết bị hoặc người
dùng mà kết nối đến bất kỳ máy chủ nào trong doanh nghiệp của bạn.
• Các giấy phép được đồng bộ giữa máy chủ dịch vụ License Logging
và máy chủ giấy phép của site. Máy chủ giấy phép của site có thể
được nhận biết thông qua Active Directory Sites And Services, tuy
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003
232
DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
nhiên giấy phép cho site được quản trị bằng công cụ Licensing trong
nhóm chương trình Administrative Tools
• Một nhóm giấy phép cho phép người dùng chia sẻ một hoặc nhiều
thiết bị. Một số lượng nhất định các Windows Device CAL được cấp
cho nhóm giấy phép này.
Bài tập thực hành 5-3: Giải nén một bản Service Pack
Trong bài tập thực hành này, bạn sẽ giải nén phiên bản mạng của một bản
service pack vào trong một cấu trúc folder.
1. Đăng nhập vào máy tính bằng tài khoản Administrator
2. Mở Windows Explorer và tạo ra một folder trên ổ C: có tên là temp
3. Lấy bản service pack cho Windows Server 2003 hoặc Windows XP từ
trang Web của Microsoft hoặc từ giảng viên của bạn và sao chép nó
vào trong folder temp mà bạn vừa tạo ra.
4. Nhấn vào Start, trỏ vào All program, trỏ vào Accessories và lựa chọn
Command Prompt. Một cửa sổ dấu nhắc dòng lệnh xuất hiện
5. Trong cửa sổ dòng lệnh, nhập vào cd \temp. Một dấu nhắc C:\temp>
xuất hiện. Tại dấu nhắc, nhập vào tên đầy đủ của file service pack đã
tải về, theo sau là dấu cách và khóa chuyển /X, giống như trong ví dụ
sau: xpsp1.exe /X
6. Sau đó nhấn Enter. Một hộp thoại Directory For Extracted Files xuất
hiện
7. Nhấn OK để chấp nhận folder mặc định C:\temp. Chương trình cài đặt
sẽ tạo ra một folder mức cha i386 trong folder temp chứa các file cài
đặt service pack đã giải nén.
8. Đóng cửa sổ Command Prompt
8. Bạn quản trị một mạng cho một đội ngũ gồm 500 nhân viên kinh
doanh điện thoại. Bạn có 550 giấy phép cấu hình trong chế độ giấy
phép Per Device hay Per User. Một chiến dịch mới được khởi động
và bạn sẽ phải thuê thêm một ca làm việc nữa cho 500 nhân viên này.
Bạn cần làm gì để quản lý hiệu quả nhất việc theo dõi và kiểm tra việc
thực hiện có đúng theo các giấy phép này không ?
a. Yêu cầu lại các giấy phép từ các máy khách đã có sẵn
b. Xóa các giấy phép cũ và mua thêm 500 giấy phép mới
c. Tạo ra các nhóm giấy phép
d. Chuyển đổi chế độ giấy phép Per Server
tính Windows Update của GPO sẽ áp dụng cho OU SUStest, chỉ ra địa
chỉ của máy chủ cập nhật là máy chủ SUS trong phần chính sách
Specify Intranet Microsoft Update Service Location. Thiết lập
Configure Automatic Updates Policy to Automatic Download And
Schedule The Install và thiết lập lịch cài đặt là hàng ngày và thời gian
là 7 A.M. Áp dụng GPO này vào OU SUStest
c) Trên máy tính Windows Server 2003 đơn, cấu hình thuộc tính
Windows Update trong GPO nội bộ của máy, chỉ định địa chỉ của
máy chủ cập nhật là máy chủ SUS trong phần chính sách Specify
Intranet Microsoft Update Service Location. Thiết lập Configure
Automatic Updates Policy to Automatic Download And Schedule
The Install và thiết lập lịch cài đặt là hàng ngày và thời gian là 7
A.M. Áp dụng GPO này vào OU SUStest
d) Trên máy chủ SUS, cấu hình thuộc tính Windows Update trong GPO
nội bộ của máy, chỉ định địa chỉ của máy chủ cập nhật là máy chủ
SUS trong phần chính sách Specify Intranet Microsoft Update
Service Location. Thiết lập Configure Automatic Updates Policy to
Automatic Download And Schedule The Install và thiết lập lịch cài
đặt là hàng ngày và thời gian là 7 A.M. Áp dụng GPO này vào OU
SUStest
PHẦN 2
QUẢN LÝ VÀ DUY TRÌ
HỆ ĐIỀU HÀNH
MIỀN (Domain)
Mô hình miền do Microsoft Windows 2003, Microsoft Windows XP và
Microsoft Windows 2000 sử dụng dựa trên nền tảng dịch vụ Microsoft
Active Directory.
Trong chương 1, bạn đã hiểu về kiến trúc và chức năng của Active
Directory. Các Tài khoản Người dùng Active Directory nằm dưới dạng của
các Đối tượng Người dùng, và chúng được lưu, cũng giống như tất cả các
thông tin của Active Directory, trên máy tính điều khiển miền, nơi mà chúng
có thể được truy nhập tới từ mọi nơi trong miền. Khi đăng nhập bằng tài
khoản người dùng miền người dùng sẽ được xác thực bởi máy chủ điều
khiển miền, chứ không phải bởi máy tính mà người dùng đang làm việc hoặc
truy nhập vào.
Tài khoản người dùng miền gồm có tên đăng nhập và mật khẩu, tên này là
duy nhất và được gọi là mã nhận dạng bảo mật (SID - Security Identifier).
Trong khi đăng nhập, Active Directory xác thực tên người dùng và mật khẩu
đưa vào. Tiếp theo, hệ thống bảo mật sẽ tạo thẻ truy nhập tương ứng với
người dùng này. Thẻ truy nhập chứa mã nhận dạng bảo mật của tài khoản
người dùng và mã nhận dạng bảo mật các nhóm của người dùng này. Thẻ
này sau đó có thể được sử dụng để kiểm tra lại quyền đã gán cho người
dùng, bao gồm cả quyền đăng nhập cục bộ và quyền được phép truy nhập
vào tài nguyên được bảo mật bởi danh sách điều khiển truy nhập(ACLs-
Access Control Lists).
Trong mô hình miền, mỗi người dùng chỉ có một tài khoản miền, nhờ vậy sẽ
giảm nhẹ công việc của người quản trị mạng. Chỉ một tài khoản này có thể
được người dùng sử dụng để truy nhập vào mọi tài nguyên trên mạng. CSDL
Active Directory thường xuyên được đồng bộ giữa các máy tính điều khiển
Hình 6-5: Bảng điều khiển Active Directory Users And Computers
Hình 6-6: Trang đầu của trình hướng dẫn New Object – User
• Full Name: Tên đầy đủ của người dùng (bắt buộc). Khi bạn gõ vào
First Name hoặc Last Name thì giá trị Full Name được tự động đưa
vào và sau đó bạn có thể sửa lại được. Giá trị đưa vào này sẽ sinh ra
một số các thuộc tính của đối tượng người dùng: common Name (CN
– tên phổ biến), distinguished Name (DN – tên phân biệt), Name
(tên) và DisplayName (tên hiển thị) . Do thuộc tính CN buộc phải là
duy nhất trong một Container. nên, tên đầy đủ bạn nhập vào đây phải
là duy nhất một cách tương đối so với các đối tượng khác trong OU
nơi mà đối tượng người dùng được tạo ra(hoặc với các Container
khác) .
• User Logon Name (Tên đăng nhập): Tên của tài khoản sử dụng để
đăng nhập (bắt buộc). Tên này sẽ được dùng trong User principal
Name (UPN – tên chính của người dùng), bao gồm tên đăng nhập và
đuôi UPN, mặc định là tên hệ thống tên miền (Domain Name System
- DNS) của miền. toàn bộ tên UPN có định dạng Tên-đăng-nhập@
đuôi-UPN (logon-Name@UPN-suffix) và phải là duy nhất trong rừng
Active Directory. Ví dụ UPN là someone@ACNA.com. UNP sử dụng
để đăng nhập vào mọi máy tính chạy Microsoft Windows 2003,
Windows XP hoặc Windows 2000.
• User Logon Name (Pre–Windows 2000): tên tài khoản sử dụng để
đăng nhập vào các máy khách trước Windows 2000 (bắt buộc), có thể
là Windows 95, Windows 98, Windows Millennium Edition
(Windows Me) hoặc Windows NT. Giá trị này sẽ được đưa vào tự
động theo tên người dùng đăng nhập và có độ dài tới 20 ký tự. Giá trị
này cũng phải là duy nhất trong một miền.
Sau khi vào các giá trị cho trang đầu bạn chọn Next, sẽ xuất hiện trang thứ 2
bao gồm các tham số sau:
Hình 6-7: Trang thứ hai của trình hướng dẫn New Object-User
• User Cannot Change Password: Chọn lựa chọn này, người dùng sẽ
không thay đổi lại được mật khẩu, thường thì bạn sẽ dùng lựa chọn
này khi có đồng thời từ hai người trở lên dùng chung một tài khoản
người dùng miền hoặc bạn muốn quản lý dịch vụ mật khẩu người
dùng. Bạn không thể chọn lựa chọn này nếu đã chọn User Must
Change Password At Next Logon.
• Password Nerver Expires: Bạn chọn lựa chọn này nếu muốn mật
khẩu không bao giờ bị hết hạn. Bạn sẽ không chọn được lựa chọn này
nếu bạn đã chọn User Must Change Password At Next Logon.
Thường bạn sẽ chọn lựa chọn này để quản lý cácmật khẩu của tài
khoản dịch vụ
• Account Is Disable: Chọn lựa chọn này để vô hiệu hoá tài khoản, ví
như là cho người mới đến, nhưng người này lại chưa cần truy nhập
vào mạng.
Một số tuỳ chọn của tài khoản có thể mâu thuẫn với chính sách nhóm đã
thiết lập mà nó được kế thừa từ miền hoặc đối tượng chứa. Ví dụ, chính sách
Organization
Sessions
Truy cập từ xa
Dial-in
(Remote Access)
Thiết lập tại từng thẻ sẽ được nêu rõ trong các phần sau:
Thẻ General
Thẻ General gồm các thông tin cơ bản của người dùng như First Name và
Last Names mà bạn nhập vào khi tạo đối tượng người dùng. Bạn cũng có
thể đưa vào các trường khác như Display Name, Office Location (vị trí cơ
quan) và Description, thêm vào đó là Telephone Numbers (số điện thoại),
Web page addresses (địa chỉ trang WEB) và E-mail address (địa chỉ Thư
điện tử) của người dùng.
Rất nhiều trường trong các Thẻ General, Address, Telephones và
Organization là các thông tin cá nhân và các trường này là tuỳ chọn và các
giá trị của nó không có mối liên quan trực tiếp tới các hoạt động của đối
tượng người dùng hay của dịch vụ Active Directory, nó đơn giản chỉ cung
cấp các thông tin về người dùng.. Việc cung cấp các thông tin này giúp cho
người quản trị dễ dàng tìm kiếm tài khoản người dùng miền bằng cách sử
dụng công cụ tìm kiếm (Search) với bất kể thông tin nào họ có về người
Thẻ Address
Thẻ Address gồm các trường thông tin cho phép quản trị nhập các thông tin
địa chỉ người dùng vào Active Directory.
Thẻ Telephones
Thẻ Telephones gồm các trường cho phép quản trị lưu các số điện thoại của
người dùng. Mặc dù các truờng như vậy chỉ đơn thuần là thông tin trong
cấu hình mặc định của Active Directory, nhưng cũng không thể nói là nó
chẳng để làm gì cả. Có rất nhiều thông tin có ích, ví dụ như có thể tạo ứng
dụng quay số điện thoại cho phép bạn tìm kiếm tài khoản người dùng khác
trong Active Directory và tự động quay số vào số điện thoại đặt trong thẻ
này.
Thẻ Organization bao gồm các trường mà ở đó người quản trị có thể xác
định thông tin về ví trí của người dùng trong tổ chức, có cả trường mà ở đó
bạn có thể chọn tài khoản người quản lý của người dùng này trogn CSDL
Active Directory .
Thẻ Account
Thẻ Account chứa các trường User Logon Name, UPN Suffix, and User
Logon Name (Pre–Windows 2000) có các giá trị bạn đưa vào khi tạo người
dùng, tuỳ theo bốn lựa chọn từ ttrình hướng dẫn Create Object – User. Thẻ
này cũng sẽ bao gồm một số các tuỳ chọn khác như sau.
• Logon Hours (Giờ đang nhập): Hiện hộp thoại Logon Hours, tại đó
quản trị có thể đặt thời gian hàng ngày hoặc theo ngày xác định trong
tuần mà người dùng sẽ được phép đăng nhập vào miền. Mặc định,
tính năng này chỉ cấm người dùng đăng nhập vào. Nếu người dùng đã
đăng nhập và hết thời gian cho phép thì sẽ không bị ngắt. Nhưng nếu
trong Network Security tại đối tượng chính sách nhóm (GPO) chọn
Thẻ Profile gồm các trường bạn có thể chỉ định vị trí đặt User profile (Khái
lược Người dùng), Home Folder (Thư mục chủ) và Logon Script (Kịch bản
đăng nhập) sẽ thực thi khi người dùng đăng nhập.
THÔNG TIN THÊM: Để biết thêm thông tin về User Profiles xem
phần “Quản lý User Profiles” tại chương sau.
Thẻ Member Of
Thẻ Member Of liệt kê các nhóm mà người dùng là thành viên và cho phép
quản trị sửa đổi lại các quan hệ thành viên nhóm của người dùng. Mặc định,
người dùng mới tạo là thành viên của nhóm Domain Users.
LƯU Ý: Để biết thêm thông tin về nhóm Active Directory xem
chương 7 “Làm việc với Nhóm”
Cho phép quản trị cho phép người dùng kết nối vào Terminal Servers (Máy
chủ Dịch vụ Đầu cuối) và chỉ định vị trí của User Profile và Home Folder
sẽ được áp dụng khi người dùng kết nối vào Terminal Server.
Thẻ Environment
Thẻ Environment (Môi trường) cho phép quản trị chỉ định ứng dụng sẽ chạy
ngay khi người dùng kết nối vào Máy chủ Dịch vụ Đầu cuối. Tại đây còn có
các lựa chọn có cho phép hay không kết nối tới các ổ đĩa đã được gắn kết
(Map) và các máy in trên máy trạm ngay sau khi đăng nhập. Và chỉ định liệu
có in vào máy in mặc đinh tại mmáy trạm hay không.
Thẻ Remote Control cho phép bạn cấu hình các thiết lập điều khiển từ xa
Dịch vụ Đàu cuối (Terminal Services) cho đối tượng người dùng. Các lựa
chọn này chỉ định liệu các phiên làm việc của người dùng có thể được truy
nhập bằng cách sử dụng tính năng kiểm soát từ xa của Dịch vụ Đầu cuối hay
không, liệu các Cấp phép cho người dùng có cần thiết hay không khi thực
hiện truy cập nói trên, và liệu người kiểm định (Auditor) chỉ đơn thuần quan
sát các phiên làm việc của người dùng hay thực sụ tham gia vào các phiên
làm việc này. Các lựa chọn này cũng còn có thể được cấu hình thông qua
bảng điều khiển Terminal Services Configuration hoặc Chính sách Nhóm
(Group Policies-GP), Trong trường hợp nếu các thiết lập cho các lựa chọn
này sử dụng các công cụ khác nhau nói trên có xung đột thì các thiết lập
trong Chính sách Nhóm sẽ được ưu tiên.
Thẻ Sessions
Thẻ Sessions (Phiên) cho phép quản trị có thể cấu hình hành vi khi ngắt kết
nối phiên làm việc Dịch vụ Đầu cuối của người dùng, sử dụng các điều
khiển sau:
Thẻ Dial-in
thẻ Dial-in (quay số vào) bao gồm các điều khiển cho phép quản trị thiết lập
các khả năng truy nhập từ xa của người dùng, bao gồm:
• Remote Access Permission (Dial-In Or VPN) (Cấp phép Truy nhập
Từ xa – Quay số hay VPN): Bạn có thể chọn các lựa chọn cho phép
truy nhập, từ chối truy nhập hoặc điều khiển truy nhập thông qua các
thiết lập trong Chính sách Truy nhập Từ xa (Remote Access Policy).
Thẻ COM+
General Description
Office
Telephone Number
Fax
Web Page
E-mail
Account UPN Suffix
Logon Hours
Computer Restrictions
Account Options
Account Expires
Address Street
P.O. Box
City
State/Province
Zip/Postal Code
Country/Region
Profile Profile Path
Logon Script
Home Folder
Organization Title
Department
Company
Manager
General Không
Telephones Không
Member Of Tất cả
Sessions Không
Dial-in Không
COM+ Không
LƯU Ý: Tạo đồng thời nhiều Templates. Tuỳ theo quy mô của tổ
chức và mức độ phức tạp cấu hình đối tượng người dùng, bạn phải
tạo đồng thời một số các đối tượng mẫu tại các vị trí khác nhau
trong cây Active Directory. Ví dụ, tạo riêng rẽ các đối tượng mẫu
của người dùng tại mỗi OU sẽ cho phép bạn cấu hình các giá trị
thuộc tính theo từng OU đó.
Một khi đối tượng mẫu đã được tạo ra, bạn có thể sử dụng nó để tạo tài
khoản người dùng mới bằng cách chọn đối tượng mẫu thích hợp, sau đó
chọn thực đơn Action, chọn Copy, khi đó sẽ xuất hiện trình Hướng dẫn Chép
Đối tượng Người dùng (Copy Object-User) gần giống như trình Hướng dẫn
Tạo Đối tượng Người dùng Mới (New Object-User) bạn đã sử dụng trong
phần trước của chương này. Trình hướng dẫn sẽ dẫn bạn qua các bước của
quá trình cấu hình các thuộc tính của đối tượng bắt buộc phải có các giá trị
duy nhất, như First Name, Last Name, Initials, Logon Name, Password và
các tuỳ chọn của tài khoản. Khi trình Hướng dẫn kết thúc, đối tượng người
dùng mới sẽ được tạo với các giá trị thuộc tính giống như của đối tượng mẫu
đối với các thuộc tính đã được liệt kê trong bảng trên.
LƯU Ý: Việc sao chép đối tượng và các Cấp phép. Một người dùng
được tạo bằng cách sao chépđối tượng mẫu có cùng quan hệ nhóm
giống như đối tượng mẫu,do vậy các Cấp phép và Quyền gán cho
nhóm này cũng sẽ được áp dụng cho người dùng mới. Tuy nhiên,
các Cấp phép và các Quyền được gán trực tiếp cho đối tượng mẫu
sẽ không được sao chép tới đối tượng người dùng, do vậy, đối tượng
người dùng mới cũng không có được các Cấp phép và Quyền này..
"CN=Scott Bishop,OU=Employees,DC=ACNA,DC=com",
user,sbishop,Bishop,,scott.bishop@ACNA.com
Số lượng các dấu phẩy(“,”) vẫn hoàn toàn giống nhau giữa hai ví
dụ, do đó trường Givenname (tên gọi) vẫn được tính đến, nhưng
không có giá trị.
Cách tốt nhất để tạo file CSV là sử dụng một file có sẵn như là một ví dụ.
Bạn có thể sử dụng CSV Directory Exchange để kết xuất ra toàn bộ CDSL
Active Directory thành tệp CSV, bằng cách gõ lệnh sau tại của sổ dòng lệnh:
csvde –f outputFileName
Trong đó: outputFileName là file được kết xuất ra
Bạn có thể mở file này bằng bất cứ hệ soạn thảo văn bản nào, như Notepad
chẳng hạn và sử dụng nó để xác định các tên LDAP cho các thuộc tính bạn
muốn sử dụng và để lấy định dạng chuẩn của mối bản ghi.
Tham số UserDN là một hoặc nhiều hơn các tên phân biệt (Distinguished
Names) cho một (hoặc nhiều) đối tượng người dùng mới. DN sử dụng cùng
một định dạng giống như định dạng của nó trong tệp CSV, như đã nêu ở
phần trên. Trong trường hợp DN có dấu cách, thì bạn phải đặt nó trong dấu
ngoặc kép (“”). Khi bạn sử dụng Dsadd.exe một cách tương tác từ dấu nhắc
dòng lệnh, bạn có thể cung cấp tham số UserDN theo một trong các cách
sau:
• Nhập từng tên DN một, phân cách nhau bới dấu cách, trong vị trí của
nó tại dòng lệnh.
• Lấy danh sách các DN từ câu lệnh khác, ví dụ như từ Dsquery.exe
• Bỏ trống tham số DN, Bạn sẽ nhập DN tại dấu nhắc đưa ra từ chương
trình. Bạn ấn Enter sau mỗi DN và nhấn CTRL+Z và Enter sau DN
cuối cùng.
Liên kết tới các máy tính khác trên My Network Places
mạng
Biểu tượng đặt trên màn hình nền, thanh Desktop contents
tác vụ và các yếu tố shortcut.
Màu màn hình và các thiết lập hiện thị Screen colors and fonts
chữ
Dũ liệu ứng dụng và các thiết lập cấu Application data and registry
hình do người dùng xác định
Các thiết lập chương trình hướng người Programs certified for use with
dùng (Per-User) cho các ứng dụng được Windows 2000 and later
thiết kế để theo dõi các thiết lập chương operating systems
trình.
Hình 6-10: Cấu trúc của thư mục Khái lược Người dùng
Chức năng của các Folder trong khái lược người dùng như sau:
• Application Data: Folder ẩn chứa dữ liệu xác định trong chương
trình, như từ điển tùy chỉnh. Nhà phát triển ứng dụng sẽ quyết định dữ
liệu nào sẽ được lưu trong Folder này.
• Cookies: Chứa các thông tin người sử dụng trang WEB và các sở
thích của người dùng được Internet Explorer lưu.
• Desktop: Chứa các biểu tượng trên màn hình nền, bao gồm shortcut
đến các file và Folder.
• Favorites: Chứa shortcut tới các trang được ưa thích trên Internet.
• Local Settings: Là Folder ẩn,chứa Folder Application Data và Folder
History, cũng như các Folder phụ thêm khác dành cho việc chứa các
file tạm thời .
Bài tập thực hành 6-2: Tạo đối tượng người dùng miền
Trong Bài tập thực hành này, bạn sẽ tạo đối tượng mới trong đối tượng chứa
Active Directory.
1. Đăng nhập vào Windows Server 2003 Máy chủ Điều khiển Miền như
Administrator.
5. Bạn làm thế nào để tạo một khái lược người dùng di trú bắt buộc?
a. Cấu hình Cấp phép trong thuộc tính Security của folder với
quyền write là Deny.
b. Cấu hình Cấp phép trong thuộc tính Sharing của folder với chỉ
có quyền read only là allow.
HIỂU VỀ NHÓM
Để người dùng có khả năng truy cập các tài nguyên trên mạng Active
Directory, họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa,
máy in được chia sẻ, và nói rộng hơn là tất cả các loại tài nguyên khác trên
mạng đều có một Danh sách Kiểm soát Truy cập (Access Control List -
ACL). ACL chính là danh sách của các đối tượng được cho phép truy cấp
đến tài nguyên, theo các mức độ truy cập khác nhau mà mỗi đối tượng được
cấp. Trong Microsoft Windows Server 2003, ACL được hiển thị tại thẻ
Sercurity (Bảo mật) của phần lớn trong bất cứ hộp thoại Properties nào, như
được thể hiện trong hình 7-1. Các đối tượng trong ACL được gọi là
Sercurity Principals (Đối tượng bảo mật). Bạn có thể sử dụng Dối tượng
người dùng như là các Đối tượng Bảo mật để trao cho người dùng quyền
truy cập đến các tài nguyên họ cần, do Đối lượng người dùng xác định tính
duy nhất của người dùng thông qua quá trình xác thực
Hình 7-1: Thẻ Security trong hộp thoại Properties của thư mục
Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi
người dùng bằng cách thêm các Đối tượng người dùng vào ACL, và việc
thực hiện điều này với toàn bộ các mạng máy tính (trừ trường hợp đối với
các mạng rất nhỏ) là điều không thể do việc tiêu tốn một cách lãng phí thời
gian và lao động. Hãy tưởng tượng bạn đang tuyển thêm 250 nhân viên mới
và, sau khi đã tạo các Đối tượng người dùng cho họ, phải cấp phép cho họ
truy cập khoảng một tá hoặc hơn các nguồn tài nguyên trải dài trên toàn bộ
mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và bạn cần
cài đặt nhanh một máy chủ thay thế và sau đó tiến hành cấp phép cho 250
người để họ có thể truy cập đến máy chủ mới.
Để tránh những công việc kinh hoàng như đã nêu trên, Quản trị mạng sử
dụng Nhóm. Nhóm sẽ làm đơn giản hóa danh sách của các người dùng có
chức năng như các Đối tượng Bảo mật. Trong Active Directory Đối tượng
Nhóm có thể bao gồm các Đối tượng người dùng, Máy tính, Mối liên hệ
(Contact), và trong những điều kiện nhất định, thậm chí bao gồm cae Nhóm.
Khi bạn sử dụng Đối tượng Nhóm như là Đối tượng Bảo mật bằng cách
thêm chúng vào trong danh sách ACL, tất cả các thành viên trong nhóm đều
nhận các cấp phép mà bạn đã gán cho nhóm (như đã chỉ ra trong hình 7-2).
Nếu bạn thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng
sẽ nhận được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào
đó, các cấp phép cho họ cũng bị loại bỏ theo.
Trong ví dụ đã nêu ở trên, bạn có thể tạo ra một Đối tượng Nhóm và gán cho
nó các cấp phép mà những người mới được nhận vào làm việc cần có. Khi
các nhân viên mới đến làm việc, toàn bộ các công việc bạn phải làm chỉ là
tạo ra các Đối tượng người dùng cho họ và thêm họ vào Nhóm. Để đơn giản
hóa việc tổ chức một máy chủ thay thế, bạn cần tạo ra một nhóm chứa toàn
bộ các người dùng của máy chủ ban đầu. Nếu máy chủ hỏng và bạn cần
chuyển sang sử dụng máy chủ thay thế, tất cả các công việc bạn cần làm là
gán các cấp phép truy cập đến máy chủ mới cho Đối tượng Nhóm đã tạo, và
tất cả các người dùng sẽ được chuyển qua sử dụng máy chủ mới một cách
êm thấm. Trên các mạng có hệ thống các nhóm được thiết kế tốt, Quản trị
mạng rất hiếm khi, nếu có, phải gán các cấp phép cho các người dùng riêng
lẻ.
Hình 7-2: Là Đối tượng Bảo mất, một Nhóm tương đương với nhiếu
người dùng
Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều
người dùng cùng lúc. Trong Microsoft Windows Server 2003, khái niệm
Quyền (Right) hoàn toàn khác với khái niệm Cấp phép (Permission). Quyền
của người dùng (User right) trao cho người dùng hay nhóm khả năng thực
hiện một tác vụ nhất định, như truy cập đến một máy tính nào đó thông qua
mạng, thay đổi thời gian hệ thống, hoặc giành quyền sở hữu (Take
ownership) đối với file hay các đối tượng khác. Thêm vào đó, bạn cũng có
thể sử dụng Nhóm để tạo ra các danh sách phân phối thư điện tử.
o Nhóm Toàn cục (Global Group) không thể chứa các nhóm
khác (nhóm trong nhóm).
o Việc chuyển đổi các nhóm là không được phép.
• Windows 2000 Native: Hỗ trợ các Máy chủ Quản tri Miền chạy
Windows Server 2003 và Windows Server 2000.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép một hay nhiều nhóm là thành viên của nhóm khác.
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm
Phân phối.
o Cho phép di chuyển các Đối tượng Bảo mất (Security
Principal) từ Miền này qua Miền khác (Lịch sử SID).
• Windows Server 2003 Interrim: Hỗ trợ các Máy chủ Quản tri Miền
chạy Windows Server 2003 và Windows NT 4. Cấp chức năng này
chỉ được sử dụng khi bạn có ý định nâng cấp các Máy chủ Quản tri
Miền đang chạy Windows NT 4 lên Máy chủ Quản tri Miền chạy
Windows Server 2003.
o Không cung cấp các tính năng mới.
• Windows Server 2003: Chỉ hỗ trợ các Máy chủ Quản tri Miền chạy
Windows Server 2003.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép một hay nhiều nhóm là thành viên của nhóm khác
(nhóm trong nhóm).
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm
Phân phối.
o Cho phép di chuyển các Đối tượng Bảo mất (Security
Principal) từ Miền này qua Miền khác (Lịch sử SID).
LƯU Ý: Các tính năng của Cấp chức năng trong Miền: các chức
năng đã liệt kê trên chỉ bao gồm các tính năng của Active Directory
đối với các Cấp chức năng mà gắn liền với Đối tượng nhóm và các
hoạt động của nó. Tăng cấp chức năng cho miền đồng thời cũng
kích hoạt nhiều tính năng khác, như khả năng đổi tên miền, . Một vài
tính năng phụ thêm của Active Directory cũng sẽ được kích hoạt
trong trường hợp bạn tăng cấp chức năng cho rừng trên mạng của
bạn, khi tất cả các Máy chủ Quản tri Miền trong toàn bộ rừng đều
chạy Windows Server 2003. Và mặc dù vậy, các chức năng này
không hề ảnh hưởng đến việc sử dụng các Đối tượng Nhóm.
• Khi máy tính là thành viên của một miền, thành viên của nhóm cục
bộ có thể bao gồm các người dùng và các nhóm toàn cục của miền
này hay bất cứ miền nào khác được tin cậy.
• Nhóm cục bộ không thể có các thành viên là các nhóm cục bộ khác.
• Việc cấp phép cho nhóm cục bộ chỉ cung cấp việc truy cập đến các
nguồn tài nguyên trên chính máy tính mà bạn tạo ra nhóm.
• Bạn không thể tạo ra nhóm cục bộ trên máy tính chạy Windows
Server 2003 đóng vai trò như là Máy chủ Quản tri Miền
(Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền
được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành
viên của nhóm thừa kế.
Trong Windows Server 2003, bạn có thể tạo và quản trị tất cả các nhóm
Active Directory bằng cách sử dụng bảng điều khiển “Active Directory
Users And Computers”, mà ta có thể truy cập từ nhóm chương trình
“Adminitrative Tools”. Như chỉ ra trên hình 7-6. Giống như đối với bất cứ
một đối tượng Active Directory nào, để có thể tạo và quản trị được nhóm
bạn cần có các cấp phép thích hợp tại đối tượng chứa, nơi nhóm được bố trí.
Hình 7-6: Bảng điều khiển “Active Directory Users And Computers”
• Nhóm Global có thể là thành viên của nhóm Machine Local (Máy
tính Cục bộ) hay nhóm Domain Local (cục bộ miền).
• Nhóm Global có thể được trao các Cấp phép truy cập đến các tài
nguyên trên bất cứ miền nào trong rừng và trên các miền được tin cậy
nằm trên rừng khác.
Nhóm Global được sử dụng thông dụng nhất trong việc quản lý các Cấp
phép cho các đối tượng Thư mục, như Tài khoản người dùng và Máy tính,
thường yêu cầu việc bảo trì trường xuyên. Trên một mạng bao gồm nhiều
miền, lợi ích chính của việc sử dụng nhóm global thay cho nhóm Universal
trong việc quản lý các Cấp phép là ở chỗ nhóm global không bị nhân bản
ngoài phạm vi của miền. Điều này làm giảm các lưu thông mạng được dùng
cho việc nhân bản đến Global Catalog, là thư mục của toàn bộ các tài
nguyên trong rừng. Sử dụng nhóm Global để gán các Cấp phép cho các đối
tượng cần nhân bản đến Global Catalog sẽ là thích hợp hơn so với việc sử
dụng nhóm Domain Local cho mục đích này.
Nhóm Universal
Nhóm Universal được sử dung chủ yếu để trao các Cấp phép truy cập đến
các tài nguyên trên nhiều miền. Nhóm Universal có các đặc tính sau:
• Nhóm Universal chỉ xuất hiện trong các Cấp chức năng Windows
2000 native và Windows Server 2003.
• Thành viên của nhóm Universal có thể bao gồm các Tài khoản
người dùng, Máy tính, các nhóm Global, và các nhóm Universal
khác trong bất cứ miền nào trong rừng. Nhóm Universal có thể
chuyển đổi thành nhóm Domain Local, nhóm Global khi chúng
không có các nhóm Universal khác là thành viên.
• Khi bạn sử dụng Cấp Chức năng Windows 2000 mixed, bạn không
thể tạo ra nhóm Universal.
• Nhóm Universal có thể được trao các Cấp phép để truy cập đến các
tài nguyên trong bất kể miền nào trong rừngvà trong các miền nằm
trong các rừng đã được tin cậy.
Chức năng chính của nhóm Universal là tập hợp các nhóm mở rộng qua
nhiều miền. Nói chung, nhóm Universal là không cần thiết trên mạng chỉ
bao gồm một miền đơn. Để sử dụng nhóm Universal một cách hiệu quả, tốt
nhất là chúng ta tạo nhóm Global trên mỗi miền, trong đó có chứa các Tài
khoản người dùng và Máy tính, sau đó thêm các nhóm Global này vào danh
sách thành viên của nhóm Universal. Việc này cho phép bạn có thể tạo ra
một nhóm Universal đơn mà có thể sử dụng trên toàn bộ doanh nghiệp, với
mối quan hệ thành viên không bị xáo trộn một cách thường xuyên.
Phương pháp trên thường được lựa chọn hơn so với việc thêm trực tiếp
người dùng và Máy tính vào nhóm Universal một cách trực tiếp do mối
thay đổi về thành viên tại nhóm Universal sẽ dẫn tới việc toàn bộ các mối
quan hệ thành viên đều phải được nhân bản đến Global Catalog. Quản lý
các người dùng và Máy tính trong nhóm Global sẽ không ảnh hưởng đến
quan hệ thành viên của nhóm Universal và do đó không sinh ra các lưu
thông phụ thêm cho việc nhân bản.
Nhóm Universal cũng là hữu dụng khi chúng ta muốn trao Cấp phép cho
người dùng được truy cập đến các tài nguyên nằm trên nhiều hơn một miền.
Không giống nhóm cục bộ miền, ban có thể gán các Cấp phép cho nhóm
Universal được truy cập đến các nguồn tài nguyên được bố trí tại bất cứ
miền nào trên mạng của bạn. Ví dụ, nếu ban lãnh đạo cần truy cập đến các
máy in trên toàn bộ mạng của ban, bạn có thể tạo nhóm Universal cho mục
đích này và gán Cấp phép cho nó, như vậy toàn bộ các thành viên của nhóm
này có thể sử dụng tất cả các máy in hiện có trên tất cả các miền trong
mạng.
Nhóm trong nhóm (Group nesting).
Như đã biết trong phần trước, khả năng đưa một nhóm là thành viên của
nhóm khác là một trong các tính năng hữu dụng của việc thực thi đối tượng
nhóm Active Directory. Kỹ thuật này được gọi là “Nhóm trong nhóm: -
(Group nesting). Thực thi nhóm trong nhóm tạo cho bạn có khả năng quản
lý việc cấp phép truy cập tài nguyên một cách hiệu quả hơn trong doanh
nghiệp của bạn mà không gây ra các lưu thông phụ thêm bất thường cho
việc nhân bản. Như đã nhắc tới ở trên, miền của bạn bắt buộc phải sử dụng
Cấp chức năng Windows 2000 native hay Windows Server 2003 để nhận
được đầy đủ các tính năng ưu việt của khả năng nhóm trong nhóm của
Active Directory, và thậm chí như vậy, vẫn còn các hạn chế trong việc thực
thi kỹ thuật nhóm trong nhóm của các loại Phạm vi nhóm khác nhau. Các
hạn chế này, cũng với toàn bộ các hạn chế về thành viên trong ba phạm vi
nhóm, được tổng kết trong bảng 7-1
Bảng 7-1: Các qui tắc thành viên của Phạm vi nhóm
Thành viên đối với cấp Thành viên đối với cấp chức
chức năng Windows 2000 năng Windows 2000 Native hay
Phạm vi Mixed hay Windows Server Windows Server 2003: Tài
nhóm cục 2003 Interim: Tài khoản khoản người dùng, Máy tính,
bộ miền người dùng, Máy tính và nhóm universal, and nhóm
nhóm global từ bất cứ miền global từ bất cứ miền nào; nhóm
nào cục bộ miền trong cùng miền
Global Tài khoản người dùng, Máy Tài khoản người dùng, Máy tính,
tính trong cùng miền nhóm global khác trong cùng
miền
Universal Không áp dụng Tài khoản người dùng, Máy tính,
nhóm universal, và nhóm
global từ bất cứ miền nào trong
rừng
Các qui tắc thành viên trong bảng trên là yếu tố đầu tiên của việc quản trị
nhóm một cách hiệu quả. Nếu bạn rơi vào trường hợp bạn không thể thêm
thành viên nhất định nào đó vào một nhóm hay không thể sử dụng nhóm để
cung cấp việc truy cập đến một nguồn tài nguyên nào đó, quá trình xử lí sự
cố nên bắt đầu bằng việc thử lại Phạm vị nhóm và Cấp chức năng, để xác
định bạn có được hỗ trợ trong việc thực hiện các tác vụ nói trên không.
Mặc dù kỹ thật nhóm trong nhóm là một công cụ đáng giá, Quản trị mạng
nên thận trọng với các tính năng của nó. Khi bạn bố trí nhóm theo nhiều lớp
sâu, có thể làm cho việc theo dõi các quan hệ thành viên và các cấp phép
được thừa kế thế nào trên toàn mạng trở nên khó khăn hơn. Một qui luật
chung, bố trí nhóm trong nhóm một cấp là hữu hiệu trong phần lớn các môi
trường mạng và là dễ duy trì hơn.
Bảng 7-2: Các hạn chế chuyển đổi Phạm vi nhóm Active Directory
Đến Domain Local Đến Global Đến Universal
Từ Domain Không áp dụng Không được Cho phép chỉ trong
Local phép trường hợp không có
thành viên là nhóm
cục bộ miền
Từ Global Không được phép Không áp dụng Cho phép nếu không
là thành viên của
nhóm Global khác
Từ Universal Không hạn chế Cho phép nếu Không áp dụng
không có nhóm
Universal khác
là thành viên
cập đến một nguồn tài nguyên nhất định, và đưa các nhóm Global đó
là thành viên của nhóm domain local tương ứng. Ví du: để các kế
toán viên có thể truy cập đến các máy in mầu, thêm nhóm Global
“Accounting” vào nhóm domain local “Color Printer”. Các người
dùng trong nhóm “Accounting” sẽ nhận được các Cấp phép đã trao
cho nhóm “Color Printer”.
Khi bạn đã tạo ra các nhóm theo các tiêu chí trên, bạn sẽ điều chỉnh các Cấp
phép cho nhóm cục bộ miền khi nguồn tài nguyên cần thay đổi và sẽ điều
chỉnh thành viên của nhóm Global khi nhân sự cần thay đổi.
Có thể bạn sẽ nghĩ rằng việc sử dụng cả hai loại Phạm vi nhóm: Domain
Local và Global là không cần thiết. Sau hết, bạn vẫn có thể chỉ tạo một
nhóm đơn, hoặc Domain Local hoặc Global, trao cho nó các cấp phép cần
thiết để truy cập tài nguyên, và thêm các đối tượng người dùng của các nhân
viên cần truy cập tài nguyên đó vào là thành viên của nhóm. Mặc dù vậy, sẽ
có các hạn chế rõ rệt trong chiến lược này, bất kể bạn đang sử dụng nhóm
domain local hay nhóm Global.
• Đặt Đối tượng người dùng vào nhóm cục bộ miền và trao cấp
phép cho nhóm cục bộ miền: Chiến lược này không cho phép bạn
gán các Cấp phép cho các tài nguyên ngoài miền, nó làm giảm mức độ
linh hoạt của chiến lược nhóm khi mạng của bạn phát triển.
• Đặt Tài khoản người dùng vào nhóm Global và trao Cấp phép
cho nhóm Global: Chiến lược này làm phức tạp hơn công việc quản
trị khi bạn sử dụng mô hình nhiều miền. Nếu các nhóm Global trong
các miền khác nhau yêu cầu cùng một tập các cấp phép, bạn phải gán
các cấp phép này cho mỗi nhóm Global riêng rẽ.
Trong phần lớn các trường hợp, các đặc quyền mà các nhóm cục bộ này
có được là do việc gán các quyền người dùng cho các nhóm này. Bảng
7-3 liệt kê danh sách các Quyền người dùng được gán cho các nhóm cục
bộ dững sẵn (Các nhóm không liệt kê không có các quyền mặc định gán
cho chúng)
Bảng 7-3 Các Quyền người dùng mặc định được gán cho nhóm cục bộ
dựng sẵn.
Local Group Default User Rights
Administrators ■ Access This Computer From The Network
(Truy cập máy tính từ mạng)
■ Adjust Memory Quotas For A Process
(Điều chỉnh hạn ngạch bộ nhớ dành cho các tiến trình )
■ Allow Log On Locally (Cho phép đăng nhập cục
bộ)
■ Allow Log On Through Terminal Services (Cho
phép đăng nhập qua dịch vụ đầu cuối)
■ Back Up Files And Directories (Sao lưu file và thư
mục)
■ Bypass Traverse Checking (Không kiểm tra Cấp
phép khi người dùng duyệt thư mục)
■ Change The System Time (thay đổi thời gian hệ
thống)
■ Create A Pagefile (tạo bộ nhớ ảo)
■ Debug Programs (gỡ rối chương trình)
■ Force Shutdown From A Remote System
(Tắt Windows từ xa)
■ Increase Scheduling Priority (tăng cấp ưu tiên của
chương trình đã lập lịch)
■ Load And Unload Device Drivers (cài đặt và dỡ bỏ
Trình điều khiển thiết bị)
■ Manage Auditing And Security Log (Quản lý việc
kiểm định và nhật ký bảo mật)
■ Modify Firmware Environment Variables (thay
đổi các biến môi trường phần sụn)
■ Perform Volume Maintenance Tasks (thực thi việc
bảo trì ổ cứng)
■ Profile Single Process (lập hồ sơ các tiến trình đơn)
■ Profile System Performance (lập hồ sơ hiệu năng
của hệ thống)
Quyền hay Cấp phép nào. Bạn có thể gán Quyền và Cấp phép cho chúng
bằng cách thêm các nhóm toàn cục xác định trước này vào nhóm miền cục
bộ hay bằng cách gán trực tiếp các Quyền hay Cấp phép cho các nhóm toàn
cục xác định trước này.
Hình 7-7: Thư mục Users của miền Active Directory chứa các nhóm
toàn cục xác định trước.
Các nhóm toàn cục xác định trước do Windows 2000 tạo ra và các thành
viên của nó bao gồm:
• CertPublishers (Xuất bản Giấy Chứng nhận) Thành viên của nhóm
này được trao các Cấp phép để có thể tạo và trao các Certificate (Giấy
chứng nhận) cho người dùng và Máy tính. Không giống phần lớn các
nhóm xác định trước khác, nhóm này là nhóm cục bộ miền.
• Domain Admins (Quản trị Miền) Thành viên của nhóm này có toàn
quyền quản trị trên miền. Mặc đinh, người dùng của miền
“Administrator” là thành viên của nhóm này. Khi máy tính gia nhập
miền hay nó được nâng cấp thành Máy chủ Quản tri Miền, nhóm
“Domain Admins” sẽ trở thành thành viên của nhóm cục bộ
“Administrators” của máy tính. Điều này cho phép các quản trị miền
có toàn quyền truy cập đến tất cả các máy tính trong miền.
• Domain Computers (Các Máy tính trong Miền) nhóm này chứa
toàn bộ các máy tính trong miền (trừ các Máy chủ Quản tri Miền).
Mặc định, tất cả các đối tượng máy tính mới được tạo ra trong miền
(trừ các Máy chủ Quản tri Miền mới tạo) sẽ trở thành thành viên của
nhóm này.
• Domain Controlers (Máy chủ Quản tri Miền) nhóm này có các
thành viên là các đối tượng máy tính của toàn bộ các Máy chủ Quản
tri Miền ở trong miền. Mặc định, các đối tượng nói trên khi được thêm
vào miền sẽ trở thành thành viên của nhóm này.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
-319-
LÀM VIỆC VỚI NHÓM
• Domain Guests (Khách của miền) Mặc định, đối tượng Domain
Guest là thành viên của nhóm này, và Windows Server 2003 sẽ tự
động thêm nhóm toàn cục “Domain Guests” vào nhóm cục bộ miền
dựng sẵn “Guests”.
• Domain Users (người dùng của miền) Nhóm này được tạo ra để
đại diện cho tất cả các người dùng của miền. Windows Server 2003 tự
động thêm tất cả các đối tượng người dùng của miền vào nhóm này và
đồng thời cũng thêm nhóm toàn cục “Domain Users” vào nhóm cục
bộ miền dựng sẵn “Users”.
• Enterprise Admins (Quản trị Doanh nghiệp) Nhóm “Enterprise
Admins” chỉ xuất hiện ở miền gốc của rừng (miền đầu tiên trong
rừng), các thành viên của nó, có toàn quyền quản trị trên tất cả các
miền trong rừng. Mặc định, nhóm “Enterprise Admins” là thành viên
của nhóm cực bộ trên miền “Administrators” và đối tượng người
dùng miền “Administrator” là thành viên của nhóm “Enterprise
Admins”.
• Group Policy Creator Owners (nhóm Tạo ra Chính sách Nhóm)
Thành viên của nhóm này được phép thay đổi các thiết lập chĩnh sách
trong miền. Mặc định, tài khoản miền “Administrator” là thành viên
của nhóm này.
• RAS and IAS Servers (nhóm Máy chủ RAS và IAS) Các máy
chủ là thành viên của nhóm này được phép truy cập các thuộc tính
truy cập từ xa của người dùng.
• Schema Admins (nhóm Quản trị Lược đồ) Nhóm này chỉ xuất
hiện tại miên gốc của rừng, và các thành viên của nó được phép thay
đổi Lược đồ Active Directory. Mặc định, tài khoản miền
“Administrator” là thành viên của nhóm này.
LƯU Ý Enterprise Admins và Schema Admins Phạm vi của
các nhóm xác định trước này phụ thuộc vào Cấp chức năng của
miền. với miền chạy tại Cấp chức năng Windows 2000 Mixed hay
Windows Server 2003 Interim, nó là Global, với miền chạy tại Cấp
chức năng Windows 2000 Native hay Windows Server 2003, nó là
Universal.
Ngoài những nhóm xác định trước đã liệt kê trên, một vài nhóm khác sẽ
được tạo ra khi bạn cài đặt các cấu thành phần mềm nhất định của Windows
Server 2003, như nhóm DnsAdmins và DnsUpdateProxy (Khi bạn cài dịch
vụ DNS Server), nhóm IIS_WPG (khi bạn cài IIS).
Cũng giống như đối với các nhóm dựng sẵn cục bộ, một vài nhóm xác định
trước Active Directory cũng có các đặc quyền thông qua việc gán các Quyền
người dùng. Trong trường hợp này, mặc dù vậy, chỉ đúng với các nhóm
“Domain Admins” và “Enterprise Admins”. Các Quyền người dùng được
gán cho các nhóm này một cách mặc định được liệt kê trong bảng 7-4.
Bảng 7-4: Các Quyền người dùng mặc định được gán cho các nhóm xác
định trước
• Server Operators (nhóm Vận hành Máy chủ) Trên Máy chủ
Quản tri Miền, thành viên của nhóm này có thể đăng nhập, tạo và
xóa các nguồn tài nguyên chia sẻ, khởi động hay dừng một vài dịch
vụ, Sao lưu và phục hồi file, định dạng ổ cứng và tắt Windows của
máy.
• Terminal Server Licence Servers (nhóm các máy chủ quản lý giấy
phép của máy chủ chạy dịch vụ đầu cuối) Thành viên của nhóm
này có thể truy cấp các máy chủ quản lý giấy phép của máy chủ chạy
dịch vụ đầu cuối, được sử dụng để cung cấp các giấy phép (License)
cho các máy khách chạy Dịch vụ Đầu cuối trên mạng.
• Users (nhóm người dùng) Thành viên của nhóm này có thể thực
thi các tác vụ thông thường nhất như chạy các ứng dụng, sử dụng các
máy tính cục bộ hay trên mạng, và khóa máy chủ. Mặc định, nhóm
“Domain Users”, và các nhóm Đồng nhất Đặc biệt “Authenticated
Users” (người dùng được xác thực), “Interactive” là thành viên của
nhóm này. Do vậy, bất cứ tài khoản người dùng nào được tạo ra trong
miền đều là thành viên của nhóm này.
• Windows Authorization Access Group (Nhóm Truy cập Xác thực
của Windows) Thành viên của nhóm này được phép truy cập đến
thuộc tính TokenGroupsGlobalAndUniverrsal của các đối tượng
người dùng miền.
LƯU Ý Nhóm cực bộ dựng sẵn và nhóm cục bộ dựng sẵn trong
miền Một vài nhóm cục bộ dựng sẵn trong miền, như nhóm
“BackUp Operators”, “Network Configuration Operators” và
mhóm “Remote Access Users” là do nhân bản (duplicate) từ các
nhóm cục bộ dựng sẵn có cùng tên trên các máy chủ độc lập và máy
chủ thành viên chạy Windows Server 2003. Các nhóm này được sử
dụng để thực hiện cũng các chức năng như với các nhóm cục bộ
dựng sẵn nhưng trên Máy chủ Quản tri Miền không tồn tại các
nhóm cục bộ dựng sẵn của chính nó.
Các Quyền người dùng mặc định được trao cho các nhóm cục bộ miền dựng
sẵn được liệt kê trong bảng 7-5.
Bảng 7-5: Quyền người dùng Mặc định được gán cho các nhóm dựng
sẵn Active Directory .
Các nhóm Đồng nhất Đặc biệt ban đầu chỉ là các khoảng trống dành cho một
hay nhiều người dùng. Khi bạn thêm nhóm đồng nhất Đặc biệt vào ACL, hệ
thống sẽ thêm các người dùng thỏa mãn các đặc điểm nhận dạng của nhóm
tại thời điểm ACL xử lý. Các nhóm Đồng nhất Đặc biệt đại diện cho các
người dùng khác nhau tại các thời điểm khác nhau, phụ thuộc vào cách thức
người dùng truy cập vào máy tính hay các nguồn tài nguyên như thế nào. Ví
dụ, nhóm Đồng nhất Đặc biệt “Authenticated Users” sẽ bao gồm toàn bộ
các người dùng hiện tại đang đăng nhập, đã được Máy tính hay Máy chủ
Quản tri Miền xác thực thành công. Tại bất cứ thời điểm nào được chỉ ra,
danh sách người dùng xuất hiện trong nhóm Đồng nhất Đặc biệt
“Authenticated Users” có thể thay đổi, do người dùng có thể đăng nhập hay
thoát khởi Windows.
Danh sách chính xác của các người dùng nằm trong nhóm Đồng nhất Đặc
biệt “Authenticate Users” được xác định tại thời điểm tài nguyên được truy
cập và ACL của nó được xử lý, chứ không phải tại thời điểm mà nhóm Đồng
nhất Đặc biệt này được thêm vào ACL.
Các nhóm Đồng nhất Đặc biệt hiện có trong Windows Server 2003 được liệt
kê sau đây:
• Anonymous Logon (Đăng nhập khuyết danh) Bao gồm tất cả các
người dùng kết nối tới máy tính nhưng không tiến hành xác thực.
• Authenticated Users (người dùng đã xác thực) bao gồm tất cả các
người dùng có các tài khoản cục bộ hay trên miền hợp lệ, và các yếu
tố nhận dạng của họ đã được xác thực. Nhóm này không bao gồm
người dùng “Guest” ngay cả trong trường hợp tài khoản này có mật
khẩu.
• Batch (Bó) Gồm tất cả các người dùng hiện tại đang đăng nhập
thông qua các tiện nghi dạng bó, ví dụ các tác vụ được dặt lịch (Task
Scheduler Job).
• Creator Owner (người sở hữu) Gồm nhóm người dùng chính
đã tạo ra hay đã chiếm quyền sở hữu (Take Ownership) tài nguyên.
• DialUp (Quay số) Gồm tất cả các người dùng hiện đang đăng nhập
thông qua đường điện thoại.
• Everyone (Mọi người) Trên các máy tính chạy Windows Server
2003, nhóm Đồng nhất Đặc biệt Everyone bao gồm tất cả nhóm
“Authenticated Users” cộng với tài khoản người dùng “Guest”. Trên
các máy tính chạy các phiên bản trước của Windows, Everyone bao
3. Mở rộng điểm “Local Users And Groups” trong ô phạm vi, sau đó
chọn thư mục “Groups”.
Trong Snap-in “Local Users And Group”, người dùng và nhóm được
đặt trong các thư mục riêng rẽ, không được đặt lẫn nhau trong các đối
tượng chứa như trong Active Directory.
4. Từ thực đơn “Action” chọn “New Group” (nhóm mới). Hộp thoại
“New Group” xuất hiện.
5. Trong hộp văn bản “Group Name” (tên nhóm), gõ tên của nhóm bạn
cần tạo.
6. Nhấn “Add” (thêm). Hộp thoại “Select Users” (chọn người dùng) xuất
hiện.
7. Gõ tên của người dùng cục bộ hay của nhóm Đồng nhất Đặc biệt
trong hộp văn bản “Enter The Object Name To Select” (Nhập tên của
đối tượng để lựa chọn). Sau đó nhấn OK. người dùng hay nhóm Đồng
nhất Đặc biệt đã được thêm vào danh sách thành viên.
Bạn cũng có thể nhấn vào “Advanced” (nâng cao) để tìm kiếm người
dùng cục bộ hay các nhóm Đồng nhất Đặc biệt.
8. Nhấn “Create” (tạo).
Snap-in sẽ tạo ra nhóm mới trong thư mục Groups, và nó làm trống
hộp thoại “New Group” để bạn có thể tiếp tục tạo nhóm khác.
9. Nhấn “Close” (đóng).
Sau khi tạo nhóm cục bộ, bạn có thể chọn nó và từ thực đơn “Action”, chọn
“Properties” (thuộc tính) để mở hộp thoại Properties của nhóm, như chỉ ra
trên hình 7-9. Tại đây, bạn có thể thêm thành viên hay loại bỏ chúng khỏi
nhóm vào bất cứ lúc nào.
Hình 7-10: Thẻ “member Of” trong hộp thoại Properties của người
dùng cục bộ
sách Nhóm cho chúng. Để gán các Quyền người dùng cho nhóm trong các
đối tượng chứa này, bạn phải sử dụng GPO áp dụng cho Miền (Domain) hay
Vị trí (Site), và các Chính sách như vậy sẽ được tất cả các đối tượng trong
Miền hay trong Vị trí (Site) thừa kế.
Để tạo đối tượng nhóm, bạn chọn đối tượng chứa trong ô Phạm vi của bảng
điều khiển “Active Directory Users And Computers” và từ thực đơn
“Action”, trỏ đến “New” và chọn “Group”. Hộp thoại “New Object -
Group” sẽ xuất hiện như trong hình 7-11.
• Group Type (Kiểu nhóm): chọn tùy chọn nào đáp ứng được mong
muốn của bạn: Security (Bảo mật), hay Distribution (Phân phối).
Trong phần lớn các trường hợp, bạn sẽ tạo các nhóm Bảo mật.
Khi bạn nhấn “OK”, bảng điều khiển sẽ tạo ra đối tượng nhóm mới trong đối
tượng chứa bạn đã chọn.
Hình 7-15: Thẻ “Member Of” của hộp thoại đối tượng người dùng.
LƯU Ý Mục đích kỳ thi mục đích của kỳ thi 70-290 yêu cầu
sinh viên có khả năng “Nhận dạng và thay đổi Phạm vi của nhóm”.
Để thay đổi Kiểu nhóm, mở hộp thoại Properties của nhóm trong bảng điều
khiển “Active Directory Users And Computers”, như hình 7-16. Trên thẻ
“General” bạn có thể nhìn thấy “Group Type option” (các lựa chọn Kiểu
nhóm), nhấn chuột vào lựa chọn chưa được chọn và nhấn “OK”.
Quá trình thay đổi Phạm vi nhóm cũng giống hệt như vậy, ngoại trừ việc bạn
chọn một trong các “Group Scope Option” trong thẻ “General”. Bảng điều
khiển chỉ cho phép bạn chọn các phạm vi có thể. Trong hình đưới đay, vi dụ,
bạn có thể thấy lựa chọn “Domain Local” không có hiệu lực do bạn không
thể chuyển đổi nhóm Global thành nhóm domain local. Xem bảng 7-2 để
biết thêm các thông tin về các phạm vi bạn được phép chuyển đổi.
Hình 7-16: Thẻ “General” trong hộp thoại Properties của đối tượng
nhóm.
Xóa nhóm
Cũng như đối với đối tượng người dùng, mỗi đối tượng nhóm bạn tạo ra
trong Active Directory là có một Định danh Bảo mật (Security Identifier -
SID) duy nhất và không sử dụng lại được. Windows Server 2003 sử dụng
SID để nhận dạng nhóm và các Cấp phép được gán cho nó. Khi bạn xóa
nhóm, Windows Server 2003 không sử dụng cùng SID lại cho nhóm đó một
lần nữa, thậm chí nếu bạn tạo nhóm mới cùng tên với nhóm đã xóa. Do vậy,
bạn không thể phục hồi các Cấp phép truy cập bạn đã gán cho tài nguyên
bằng cách tạo lại nhóm đã xóa. Bạn bắt buộc phải tạo lại tất cả từ đầu một
nhóm mới như là một Đối tượng Bảo mật trong ACL của tài nguyên.
Khi bạn xóa nhóm, bạn chỉ xóa đối tượng nhóm và các Cấp phép cùng các
Quyền chỉ ra rằng nhóm là một đối tượng bảo mật. Việc xóa nhóm sẽ không
xóa các đối tượng là thành viên của chúng.
LƯU Ý Lỗi xóa nhóm Bạn không thể xóa nhóm nếu một
trong các thành viên của nó có thiết lập nhóm đặt nhóm định xóa là
nhóm chính (Primary Group). Thoát khỏi sự hạn chế của việc xóa
nhóm này, nhóm chính chỉ liên quan đến các máy khách Macintosh
và trong các ứng dụng POSIX. Để thay đổi nhóm chính của người
dùng, mở hộp thoại Properties của đối tượng người dùng, và trong
thẻ “Member Of”, chọn một nhóm khác và nhấn “Set Primary
Group”.
Để xóa nhóm, bạn cần chọn chúng trong bảng điều khiển “Active Directory
Users And Computers” và từ thực đơn “Action”, chọn “Delete”. Một hộp
thông báo Active Directory xuất hiện, nhắc bạn xác nhận lại quyết định của
mình. Nhấn “Yes”, nhóm sẽ bị xóa.
Bạn cũng có thể thêm các tham số -s, -u, -p để chỉ định Máy chủ Quản tri
Miền mà lệnh Dsadd.exe sẽ chạy, và tên người dùng và mật khẩu được sử
dụng để chạy lệnh.
• {-s Server | -d Domain}
• -u UserName
• -p {Password | *}
LƯU Ý Chỉ định mật khẩu khi sử dụng Dsadd.exe sử dụng ký
tự thay thế “*” cùng với khóa –p thay cho việc nhập mật khẩu sẽ
làm cho chương trình nhắc bạn nhập mật khẩu trước khi thực hiện
lệnh.
Ví dụ, để tạo ra nhóm có tên “Sales” trong đối tượng chứa “Users” và đưa
người dùng “Administrator” là thành viên của nhóm này, bạn sẽ sử dụng
câu lệnh sau:
Dsadd group “CN=Sales, CN=Users, DC=ACNA, DC=com” –member
“CN=Administrator, CN=Users, DC=ACNA, DC=com”
• -chmbr members Thay toàn bộ danh sách của các thành viên
nhóm. Thay tham số phụ members bằng tên DN của một hay nhiều
đối tượng.
Ví dụ, để thêm người dùng “Administrator” vào nhóm “Guests”, bạn sẽ
dừng lệnh sau:
dsmod group "CN=Guests,CN=Builtin,DC=ACNA,DC=com" –addmbr
"CN=Administrator,CN=Users,DC=ACNA,DC=com"
Mỗi lớp đối tượng trên lại có một tập hợp các tham số liên quan dến lớp đó,
cho phép bạn có thể hiển thị giá trị của các thuộc tính của kiểu đối tượng đó.
Với lệnh Dsget user, vài trong các tham số của nó là:
• –dn hiển thị tên DN của người dùng.
• –samid Hiển thị tên SAM của tài khoản người dùng
• –sid Hiển thị Mã số Nhận dạng Bảo mật (SID) của người dùng
• –upn Hiển thị tên chính (principal) của người dùng.
• –fn Hiển thị tên gọi (first name) của người dùng
• –ln Hiển thị tên gia đình (last name) của người dùng
• –display Hiển thị tên hiển thị (display name) của người dùng
• –tel Hiển thị số diện thoại của người dùng
• –email Hiển thị địa chỉ E-mail của người dùng
• –memberof Hiển thị các nhóm mà người dùng là thành viên
trực tiếp
• –expand Hiển thị danh sách các nhóm đề qui mà người dùng là
thành viên
Ví dụ, để hiển thị danh sách các nhóm mà người dùng là thành viên, ta sử
dụng câu lệnh sau:
dsget user "CN=Administrator,CN=Users,DC=ACNA,DC=com” -
Memberof
LƯU Ý Mục đích của kỳ thi Mục đích của kỳ thi 70-290 yêu
cầu các sinh viên có khả năng “Tìm các nhóm trên miền mà một
người dùng cụ thể nào đó là thành viên”.
TỔNG KẾT
• Nhóm là một đối tượng gồm có một danh sách các người dùng. Bạn
có thể Cấp phép bảo mật cho nhóm bằng cách thêm nó vào trong danh
sách ACL, giống như bất cứ một đối tượng bảo mật nào khác, ví dụ
người dùng hay Máy tính. Tất cả các Cấp phép bạn gán cho nhóm sẽ
được các thành viên trong nhóm thừa kế.
• Windows Server 2003 hỗ trợ các nhóm cục bộ và các nhóm Active
Directory trên miền theo cùng phương thức mà nó đã hỗ trợ cho
người dùng cục bộ và người dùng trên miền.
• Cấp chức năng Active Directory của miền xác định các Kiểu và Phạm
vi của nhóm bạn có thể sử dụng, loại nhóm nào bạn có thể đặt trong
các nhóm khác, và loại nhóm nào bạn có thể chuyển đổi.
• Trong Active Directory, có hai Kiểu nhóm: Bảo mật (Securitiy) và
Phân phối (Distribution), và có ba loại Phạm vi: Domain Local,
Global, Universal.
• Nhóm Bảo mật có thể được gán các Cấp phép, trong khi nhóm Phân
phối được sử dụng để truy vấn các đối tượng chứa, như các nhóm
Phân phối E-mail, và không thể Cấp phép truy cập tài nguyên cho nó.
• Nhóm cục bộ miền được sử dụng để gán các Cấp phép truy cập các tài
nguyên. Nhóm Global nhằm tập hợp các người dùng có cùng một
nhu cầu đối với tài nguyên. Nhóm Universal được sử dụng chính cho
việc truy cập đến các tài nguyên nằm trên nhiều miền.
• Để tạo và quản lý nhóm cục bộ, bạn sử dụng Snap-in “Local Ussers
And Groups”. Để tạo và quản lý nhóm Active Directory, bạn sử dụng
bảng điều khiển “Active Directory Users And Computers”.
• Bạn có thể tạo các nhóm trên miền tại bất kể đối tượng chứa nào hay
tại OU trong cây Active Directory.
• Kỹ thuật “Nhóm trong nhóm” (Nesting) là bạn làm cho một nhóm này
trở thành thành viên của nhóm kia.
• Bạn có thể tạo ra hay chỉnh sửa nhóm bằng các công cụ dạng dòng
lệnh, ví dụ như: Dsadd.exe, Dsmod.exe, Dsget.exe.
Bài tập thực hành 7-2: Thêm thành viên vào nhóm
Trong bài tập thực hành này, ta thêm các đối tượng người dùng vào làm
thành viên của nhóm.
1. Đăng nhập vào Máy chủ Quản tri Miền Windows Server 2003 với tài
khoản của Administrator.
2. Nhấn Start, trỏ đến Administrative Tools, và nhấn Active Directory
Users And Computers. Bảng điều khiển Active Directory Users And
Computers xuất hiện.
3. Chọn đối tượng chứa Users trong ô Phạm vi.
4. Trong ô Chi tiết, chọn nhóm trên miền Users và từ thực đơn Action,
chọn Properties. Hộp thoại Domain Users Properties xuất hiện.
5. Chọn thẻ Members và nhấn Add. Hộp thoại Select Users, Computers,
Contacts, Or Groups xuất hiện.
6. Trong hộp Enter The Object Names To Select, gõ “Guest”, và nhấn
OK. Đối tượng người dùng Guest được thêm vào danh sách thành
viên của nhóm.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
-344-
LÀM VIỆC VỚI NHÓM
Bài tập thực hành 7-3: Đưa nhóm vào trong nhóm
Trong bài tập thực hành này, bạn sẽ tạo các nhóm chứa nhau bằng cách thêm
một nhóm vào làm thành viên của một nhóm khác.
1. Đăng nhập vào Máy chủ Quản tri Miền Windows Server 2003 với tài
khoản của Administrator.
2. Nhấn Start, trỏ đến Administrative Tools, và nhấn Active Directory
Users And Computers. Bảng điều khiển Active Directory Users And
Computers xuất hiện.
3. Chọn đối tuượng chứa Users trong ô Phạm vi, và trên thực đơn Action
menu, trỏ đến New và nhấn Group. Hộp thoại New Object – Group
xuất hiện.
4. Trong hộp văn bản Group Name , gõ “Printers”.
5. Trong hộp Group Scope, chọn tùy chọn Domain Local, và nhấn OK.
Lúc này, bạn nên gán cho nhóm Printers các Cấp phép cần thiết để có
thể truy cập các máy in trên mạng.
6. Tạo đối tượng nhóm bảo mật thứ hai sử dụng phạm vi Global có tên
“Sales”.
7. Chọn đối tượng nhóm Printers bạn vừa tạo, và từ thực đơn Action,
chọn Properties. Hộp thoại Printers Properties xuất hiện.
8. Chọn thẻ Members, và nhấn Add. Hộp thoại Select Users, Computers,
Contacts, Or Groups.
9. Trong hộp Enter The Object Names To Select, gõ Sales, và nhấn OK.
Đối tượng nhóm Sales đã được thêm vào danh sách thành viên của
nhóm Printers.
10. Nhấn OK để đóng hộp thoại Domain Users Properties.
Lúc này, nhóm Sales sẽ thừa hưởng toàn bộ các Cấp phép bạn đã trao
cho nhóm Printers và truyền nó cho các thành viên của mình.
bạn thực hiện tác vụ này. Các nguyên nhân nào sau đây đã gây nên lỗi
trên? (Chọn tất cả các câu trả lời đúng.)
a. Vẫn còn thành viên trong nhóm.
b. Một trong các thành viên của nhóm có thiết lập nhóm đặt nó là
nhóm chính (Primary Group.)
c. Bạn không có đầy đủ các Cấp phép cần thiết đối với đối tượng
chứa mà nhóm này đang được định vị trong nó.
d. Bạn không thể xóa nhóm Global bằng cách sử dụng bảng điều
khiển Active Directory Users And Computers.
9. Tại sao bạn không nên sử dụng các nhóm cục bộ trên máy tính sau khi
nó trở thành thành viên của miền.
Hình 8-1 Lưu trữ tài khoản người dùng trongNhóm làm việc
Hầu hết ở các mạng chạy Windows có nhiều hơn một vài máy tính người ta
không sử dụng mô hình Nhóm làm việc (Workgroup) mà họ sử dụng mô
hình Miền (Domain), được thực thi trong Windows Server 2003 nhờ Dịch
Hình 8-2 Lưu trữ tài khoản máy tính Miền Active Directory.
Khi một người dùng thực hiện đăng nhập vào Miền Active Directory, máy
trạm thiết lập một kết nối tới một Máy chủ Điều khiển Miền để xác thực
định danh của người dùng. Nhưng trước khi xảy ra việc xác thực người
dùng, hai máy tính thực hiện chuẩn bị xác thực sử dụng các Đối tượng Máy
tính tương ứng để đảm bảo là cả hai hệ thống đều là các phần của Miền này.
Dịch vụ Truy nhập Mạng (NetLogon service) đang chạy trên máy trạm kết
nối tới cùng dịch vụ này trên Máy chủ Điều khiển Miền và sau đó từng máy
kiểm tra lại hệ thống kia đã có tài khoản máy tính hợp lệ chưa. Khi sự kiểm
tra được hoàn tất, hai hệ thống thiết lập một kênh kết nối bảo mật mà sau đó
chúng có thể sử dụng để bắt đầu quá trình xác thực người dùng.
Sự kiểm tra Tài khoản Máy tính giữa máy trạm và Máy chủ Điều khiển
Miền là quá trình xác thực thực sự dùng tên tài khoản và mật khẩu đúng như
khi xác thực người dùng Miền. Sự khác nhau là ở chỗ mật khẩu được sử
dụng bởi tài khoản máy tính được sinh ra một cách tự động và được giữ dưới
dạng ẩn. Người quản trị có thể khởi tạo lại (Reset) Tài khoản Máy tính
nhưng họ không phải cung cấp mật khẩu cho chúng.
LƯU Ý: Hệ điều hành Windows và các Đối tượng Máy tính: Các
máy tính chạy trên nền tảng hệ điều hành Windows NT như
Windows Server 2003, Windows XP, Windows 2000 và Windows NT
hỗ trợ Miền một cách tự nhiên và luôn được đại diện bởi các Đối
tượng Máy tính trong Active Directory . Các hệ điều hành Window
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 352 -
LÀM VIỆC VỚI TÀI KHOẢN MÁY TÍNH
Người quản trị thường chịu trách nhiệm tạo Đối tượng Máy tính nhưng
người dùng cuối cũng có thể tự tạo các đối tượng của họ với những điều
kiện nhất định.
LƯU Ý: Mục đích kỳ thi Mục đích của kỳ thi 70-290 yêu cầu các
thí sinh có khả năng “Tạo và quản lý tài khoản máy tính trong môi
trường Active Directory.”
Tạo các Đối tượng Máy tính sử dụng Active Directory And Computers
Cũng như đối với các Đối tượng Người dùng và Đối tượng Nhóm bạn đã
nghiên cứu tại các chương trước, tiện ích chính của Windows Server 2003
để tạo các Đối tượng Máy tính là bảng điều khiển Active Directory Users
And Computers, như được chỉ ra trong hình 8-3.
Hình 8-3 Bảng điều khiển Active Directory Users And Computers
Để tạo các Đối tượng Máy tính tại Miền Active Directory bằng cách sử dụng
bảng điều khiển Active Directory Users And Computers hay bất cứ tiện ích
nào khác bạn phải có các Cấp phép thích hợp cho Đối tượng Chứa sẽ bố trí
các đối tượng này. Mặc định, nhóm Administrators có Cấp phép tạo các đối
tượng tại bất kỳ nơi nào trên Miền và nhóm Account Operators có Cấp phép
đặc biệt Create Computer Objects và Delete Computer Objects để tạo và
xoá Đối tượng Máy tính ra khỏi Đối tượng Chứa Computers, cũng như là ra
khỏi bất kỳ OU mới nào mà bạn tạo. Nhóm Domain Admins và Enterprise
Admins là thành viên của nhóm Administrators, bởi vậy thành viên của các
nhóm này cũng có thể tạo các Đối tượng Máy tính tại bất cứ nơi nào. Người
quản trị cũng có thể uỷ quyền điều khiển Đối tượng Chứa cho các người
dùng hay các nhóm nhất định cho phép họ tạo các Đối tượng Máy tính tại
các Đối tượng Chứa này.
THÔNG TIN THÊM: Người dùng bình thường cũng được phép tạo
một số lượng giới hạn các Đối tượng Máy tính. Để biết chi tiết hơn,
xem “Nhập Máy tính vào Miền” tại phần sau của chương này.
Quá trình tạo một Đối tượng Máy tính tại Active Directory Users And
Computers tương tự như quá trình tạo người dùng hoặc nhóm. Bạn chọn Đối
tượng Chứa mà bạn muốn đặt đối tượng và chọn thực đơn Action, trỏ tới
New và chọn Computer. Xuất hiện trình hướng dẫn New Object –
Computer, như trong hình 8-4.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 355 -
LÀM VIỆC VỚI TÀI KHOẢN MÁY TÍNH
Tại trang đầu của trình hướng dẫn, bạn có thể cấu hình các thuộc tính sau
của Đối tượng Máy tính :
• Computer Name Chỉ ra tên của máy tính có độ dài tới 63 ký tự,
được gán cho Đối tượng Máy tính. Tên này phải đúng với tên của máy
tính được kết nối với đối tượng này.
• Computer Name (Pre–Windows 2000) Khi bạn nhập vào tên máy
tính, 15 ký tự đầu xuất hiện trong trường này. Đây là tên của máy tính
mà các máy tính trước Windows 2000 trên mạng sẽ dùng.
• User Or Group Chỉ ra người dùng và nhóm được phép nhập máy tính
vào Miền. Giá trị mặc định là nhóm Domain Admins. Để thay đổi
bấm Change để mở hộp thoại chuẩn Select User or Group.
• Assign This Computer Account As A Pre–Windows 2000
Computer Chọn hộp chọn này nếu máy tính gia nhập vào Miền sử
dụng đối tượng này chạy Windows NT 4.0.
• Assign This Computer Account As A Backup Domain Controller
Chọn hộp chọn này nếu máy tính gia nhập vào Miền sử dụng đối
tượng này có chức năng như Máy chủ Điièu khiển Miền Dự phòng
chạy Windows NT 4.0 (Backup Domain Controller - BDC).
Hình 8-5 Trang Managed của trình hướng dẫn New Object – Computer
Bấm Next hiển thị trang Summary và bấm Finish, trình hướng dẫn sẽ tạo
Đối tượng Máy tính trong Đối tượng Chứa đã chọn.
Nếu DN chứa dấu cách thì bạn phải để trong dấu ngoặc kép (“”). Khi sử
dụng Dsadd.exe một cách tương tác từ dấu nhắc lệnh bạn sẽ cung cấp tham
số ComputerDN theo một trong các cách sau:
• Bằng cách gõ DN ngay trên dòng lệnh, phân tách nhau bởi dấu cách.
• Bằng cách dẫn nhập danh sách DN từ dòng lệnh khác, như
Dsquery.exe.
• Bằng cách bỏ trống tham số DN, tại dấu nhắc của chương trình bạn có
thể gõ DN vào. Ấn phím Enter sau mỗi DN , ấn Ctrl+Z và Enter sau
DN cuối cùng.
Bạn cũng có thể bổ sung thêm bất kỳ một tham số nào sau đây vào dòng
lệnh Dsadd.exe, để xác định các giá trị cho các thuộc tính của Đối tượng
Máy tính:
• -samid SAMName Chỉ ra tên SAM (Security Accounts Manager)
cho Đối tượng Máy tính, được các hệ thống trước Windows 2000 sử
dụng.
• -desc description Chỉ ra diễn giải cho Đối tượng Máy tính
• -loc location Chỉ ra vị trí của máy tính tương ứng với Đối tượng Máy
tính
• -memberof GroupDN Chỉ ra DN của một hoặc nhiều nhóm mà máy
tính mới sẽ trở thành thành viên.
Bạn cũng có thể bổ sung thêm các tham số -s, -u và -p để chỉ ra Máy chủ
Điều khiển Miền mà lênh Dsadd.exe sẽ chạy trên đó, tên người dùng và mật
khẩu sẽ được dùng để thực thi lệnh này, như chỉ ra dưới đây:
• {-s Server | -d Domain}
• -u UserName
• -p {Password | *} , Khi có dấu “*”, bạn sẽ được nhắc nhập mật khẩu
tại dấu nhắc lệnh.
Ví dụ, để tạo một Đối tượng Máy tính có tên là webserver1 trong Đối tượng
Chứa Computers, bạn sẽ sử dụng lệnh sau:
dsadd computer "CN=webserver1, CN=Computers, DC=ACNA,
DC=com"
và các tác vụ bảo mật khác. Lợi ích của việc sử dụng Netdom.exe thay cho
Dsadd.exe là bạn không phải chỉ ra tên của Đối tượng Máy tính bạn muốn
tạo như là DN. Lệnh đơn giản sau tạo ra một Đối tượng Máy tính trong Đối
tượng Chứa Computers :
netdom add webserver1
LƯU Ý Netdom.exe Netdom.exe đã có sẵn trong Windows
Server 2000, nhưng nó không được cài cùng với hệ điều hành. Bạn
có thể cài Netdom.exe từ Windows Support Tools bằng cách chạy
Suptools.msi từ folder Support\Tools trong đĩa CD cài đặt Windows
Server 2003.
Cú pháp đầy đủ của Netdom.exe, khi bạn sử dụng câu lệnh phụ add như sau:
netdom add computername [/Domain:DomainName]
/UserD:User/PasswordD:UserPassword] [/OU:OUDN]
Chức năng của tham số của dòng lệng như sau:
• computername Chỉ ra Tên Phổ biến (Common Name) của Đối tượng
Máy tính được tạo.
• /Domain:DomainName Chỉ ra tên Miền mà tại đó bạn tạo Đối tượng
Máy tính. Khi bỏ qua, chương trình tạo đối tượng này trong Miền mà
người dùng hiện thời đang đăng nhập.
• /UserD:User Chỉ ra tên của tài khoản người dùng mà chương trình sẽ
sử dụng để tạo Đối tượng Máy tính. Khi bỏ trống, chương trình sử
dụng tài khoản của người dùng hiện đang đăng nhập.
• /PasswordD:UserPassword Chỉ ra mật khẩu tương ứng với tài khoản
người dùng chỉ ta bởi tham số /UserD. Tham số này phải có khi dòng
lệnh chứa tham số /UserD. Ký tự đại diện (*) có thể được sử dụng để
nhắc bạn nhập mật khẩu.
• /OU:OUDN Chỉ ra DN của OU tại nơi mà Đối tượng Máy tính sẽ
được tạo. Khi bỏ trống, chương trình tạo đối tượng trong Đối tượng
Chứa Computers.
2003 vào Miền từ thẻ Computer Name tại hộp thoại System Properties
(chạy từ biểu tượng System tại Control Panel), như trong hình 8-6.
Hình 8-6 Thẻ Computer Name trong hộp thoại System Properties
Trên máy tính không gia nhập vào Miền, Thẻ Computer Name hiển thị tên
gán cho máy tính trong khi cài đặt hệ điều hành và tên của Nhóm làm việc
mà hệ thống hiện đang thuộc về (đó là WORKGROUP theo mặc định). Để
nhập máy tính vào Miền bấm Change để hiển thị hộp thoại Computer
Name Changes (chỉ ra trong hình 8-7).
■ /UserD:User Chỉ ra tên tài khoản người dùng miền mà chương trình sẽ sử
dụng để nhập máy tính vào Miền.
■ /PasswordD:UserPassword Chỉ ra mật khẩu tương ứng với tài khoản
người dùng miền chỉ ra bởi tham /UserD.
■ /UserO:User Chỉ ra tên của tài khoản người dùng cục bộ mà chương trình
sẽ sử dụng để truy nhập tới máy tính này.
■ /PasswordO:UserPassword Chỉ ra mật khẩu tương ứng với tài khoản
người dùng cục bộ chỉ ra bởi tham số /UserO.
■ /OU:OUDN Chỉ ra DN của OU mà tại đó Đối tượng Máy tính sẽ được tạo
ra. Nếu để trống, chương trình tạo đối tượng tại Đối tượng Chứa Computers.
■ /REBoot:seconds Chỉ ra máy tính sẽ tự động tắt và khởi động lại sau khi
gia nhập Miền. Bạn cũng có thể chỉ thời gian tính theo giây trước khi máy
tính khởi động lại. Giá trị mặc định là 20 giây.
Tạo Đối tượng Máy tính trong khi nhập máy tính vào Miền
Bạn có thể nhập máy tính vào Miền cho dù bạn đã tạo Đối tượng Máy tính
cho nó hay chưa. Khi máy tính xác thực với Máy chủ Điều khiển Miền, Máy
chủ Điều khiển Miền sẽ quét CSDL Active Directory để tìm Đối tượng Máy
tính cùng tên với máy tính này. Nếu không tìm thấy Đối tượng phù hợp Máy
chủ Điều khiển Miền sẽ tạo Đối tượng Máy tính tại Đối tượng Chứa
Computers dùng tên do máy dự định gia nhập Miền cung cấp.
Đối với Đối tượng Máy tính được tạo tự động theo cách này, nó sẽ đòi hỏi
tài khoản người dùng mà bạn chỉ ra khi kết nối tới Máy chủ Điều khiển
Miền phải có quyền Khởi tạo Đối tượng (Create Object) tại Đối tượng Chứa
Computers,ví dụ như là thành viên của nhóm Administrators. Tuy nhiên,
không phải lúc nào cũng đúng như vậy. Người dùng miền cũng có thể tự tạo
Đối tượng Máy tính của họ một cách gián tiếp. Chính sách Nhóm của Máy
chủ Điều khiển Miền Mặc định (Default Domain Controllers Policy) gán
Quyền Người dùng Add Workstations To Domain cho nhóm đồng nhất đặc
biệt Authenticated Users, như trong hình 8-9. Điều này có nghĩa là bất cứ
người dùng nào đã xác thực thành công với Active Directory sẽ được quyền
nhập tới 10 máy trạm vào Miền và tạo 10 Đối tượng Máy tính tương ứng,
thậm chí cả khi họ không có quyền Create Object.
Hình 8-9 Phân quyền người dùng Default Domain Controllers Policy
Điều quan trong cần phải lưu ý về Quyền Người dùng Add Workstations To
Domain, mặc dù vậy, là Workstations là từ có ý nghĩa nhất. Người dùng đã
xác thực có thể thêm tới 10 máy trạm vào Miền còn máy chủ thì không.
Điều này có nghĩa máy tính phải chạy Windows XP Professional, Windows
2000 Professional hoặc một trong những bản Active Directory máy khách
thấp hơn. Người dùng đã xác thực không thể nhập máy tính chạy Windows
Server 2003 hoặc Windows 2000 Server vào Miền.
Định vị Đối tượng Máy tính của Máy chủ Điều khiển Miền
Đối tượng Chứa Domain Controllers là một Đối tượng OU. Bạn không bao
giờ phải tạo Đối tượng Máy tính cho Máy chủ Điều khiển Miền bởi vì Trình
hướng dẫn cài đặt Active Directory đã tạo và đặt chúng vào OU Domain
Controllers. Đối tượng Chứa này phải là một OU bởi vì có GPO áp dụng
cho nó được gọi là Default Domain Controllers Policy GPO. GPO này chứa
các thiết lập của chính sách chủ yếu cho việc bảo mật của Máy chủ Điều
khiển Miền. Trong hầu hết các bản cài đặt Active Directory thì Đối tượng
Máy tính của Máy chủ Điều khiển Miền vẫn ở đúng chỗ cũ của nó. Nếu bạn
muốn di chuyển chúng, bạn phải đảm bảo áp dụng chính sách Default
Domain Controllers Policy GPO cho OU mới có chứa Máy chủ Điều khiển
Miền hoặc tạo một GPO tương đương có chứa các thiết lập dành riêng cho
vai trò Máy chủ Điều khiển Miền.
tạo Đối tượng Máy tính tại một Đối tượng Chứa bất kỳ, quản lý và di chuyển
chúng.
Có thể, bạn sẽ thấy rất lạ, là Đối tượng Chứa Computers không phải là một
OU, nó là một trong các đối tượng đặc biệt, là loại Đối tượng mà lớp đối
tượng này theo nghĩa đen thì đúng là một Đối tượng Chứa, cũng như các Đối
tượng Chứa Users, Builtin và Foreign- SecurityPrincipals. Như bạn đã tìm
hiểu tại chương 6, bạn không thể tạo hoặc xoá những Đối tượng Chứa này
và bạn không thể áp dụng GPO cho chúng. Do vậy bạn không thể triển khai
các thiết lập chính sách nhóm cho các Đối tượng Máy tính cất giữ ở đó một
cách đơn giản. Vì lý do này, nên tạo ít nhất một OU và di chuyển các Đối
tượng Máy tính từ Đối tượng Chứa Computers tới đó.
Nhiều mạng Active Directory tạo đồng thời các OU cho các Đối tượng Máy
tính theo tổ chức hoặc theo phân cấp địa lý trong cây Active Directory hoặc
tạo các Đối tượng Chứa riêng rẽ theo các vai trò khác nhau mà các máy tính
thực hiện. Ví dụ, bạn nên tạo một OU cho máy trạm của bạn và một loạt các
OU cho các Máy chủ Thành viên (Member Server). Điều này cho phép bạn
triển khai một GPO chứa các thiết lập chính sách cho từng OU, từ đó tạo
một cấu hình hệ thống khác theo mỗi vai trò của từng máy tính.
Chuyển hướng Đối tượng Máy tính
Mặc dù bạn có thể tạo các Đối tượng Máy tính trong Đối tượng Chứa
Computers và di chuyển chúng tới bất kỳ vị trí nào mà bạn muốn và bạn
cũng có thể cấu hình Windows Server 2003 tự động đặt các Đối tượng Máy
tính nó tạo ra vào một Đối tượng Chứa khác. Cách này thường được sử dụng
hơn vì nó cho phép bạn đặt Đối tượng Máy tính mới vào OU thích hợp trước
khi máy tính thực sự gia nhập Miền. Việc này đảm bảo là máy tính được
kiểm soát bởi các chính sách áp dụng cho OU ngay sau khi máy tính gia
nhập Miền.
Để chuyển hướng Đối tượng Máy tính mới, Miền của bạn phải sử dụng
Domain functional level (Cấp chức năng Miền) Windows Server 2003 . Mở
cửa sổ dấu nhắc lệnh và từ dòng lệnh chạy tiện ích Redircmp.exe, được
cung cấp cùng với Windows Server 2003, chỉ ra DN của OU hoặc Đối tượng
Chứa khác bạn muốn đặt đối tượng mới vào, như ví dụ sau:
redircmp ou=workstations,DC=ACNA,dc=com
THÔNG TIN THÊM: Để biết chi tiết hơn về Cấp chức năng Miền
(domain functional level) và làm thế nào chúng ảnh hưởng đến việc
tạo và quản lý các Đối tượng của Active Directory, xem “Tìm hiểu
về các Cấp Chức năng Miền” tại chương 7.
Hình 8-12 A Hộp thoại Properties của Đối tượng Máy tính
Hộp thoại có 7 thẻ:
• General Tại đây, bạn có thể gõ vào diễn giải cho máy tính đại diện
bởi đối tượng này. Các hộp khác (Computer Name [Pre–Windows
2000], DNS Name, và Role) chứa các thông tin có thể được cung cấp
tự động khi máy tính gia nhập Miền.
• Operating System Gồm có tên, phiên bản và mức của gói dịch vụ
(service pack level) của hệ điều hành chạy đang chạy trên máy tính
được đại diện bởi đối tượng này. Thông tin này được cấp tự động khi
máy tính nhập vào Miền. Không có thược tính nào do người dùng
định nghĩa tại thẻ này.
• Member Of Cho phép bạn chỉ ra nhóm mà Đối tượng Máy tính này là
thành viên. Mặc định, tất cả các Đối tượng Máy tính mới không phải
là Máy chủ Điều khiển Miền được đưa vào nhóm toàn cục Domain
Computers.
• Delegation Cho phép bạn gán các dịch vụ chạy dưới Cấp phép của tài
khoản máy tính để gửi các yêu cầu dịch vụ tới máy tính khác trên
mạng với tư cách một người dùng. Bạn có thể cho phép đối tượng này
yêu cầu dịch vụ bất kỳ hoặc tạo danh sách các dịch vụ đặc biệt nó có
thể yêu cầu, sử dụng tài khoản uỷ quyền khác.
• Location Có chứa hộp mà bạn có thể sử dụng để xác định ví trí của
máy tính tương ứng với đối tượng này.
• Managed By Cho phép bạn chỉ ra đối tượng người dùng chịu trách
nhiệm quản lý của máy tính đại diện bởi đối tượng này. Khi bạn làm
như vậy, các thuộc tính thích hợp từ của đối tượng người dùng đã
chọn sẽ hiển thị trong thẻ này, như trong hình 8-13. Các thông tin này
được lấy một cách động từ đối tượng người dùng; chỉ có tên của
người dùng là được lưu trữ như là một phần của Đối tượng Máy tính.
• Dial-In Cho phép bạn chỉ ra giá trị cho các thuộc tính kiểm soát truy
nhập quay số từ xa tới máy tính đại diện bởi Đối tượng này, như là sẽ
được phép truy nhập hay bị từ chối và sẽ sử dụng hay không các tính
năng như là định danh người gọi (caller ID) và gọi lại (callback).
Hình 8-13 Thẻ Managed By trong hộp thoại Properties của Đối tượng
Máy tính
xoá cũng đều bị mất không thể cứu lại được. Bởi thế bạn không nên xoá các
Đối tượng Máy tính (hoặc bất kỳ đối tượng nào, chính vì lý do này) trừ khi
bạn hoàn toàn chắc chắn là bạn kkông cần lại đến chúng. Bạn có thể tránh
cho đối tượng bị sử dụng thay bằng cách khác là vô hiệu hoá nó.
LỜI KHUYÊN Tách rời máy tính ra khỏi Miền Khi một máy tính
bị di chuyển ra khỏi Miền bằng cách nhập nó tới một nhóm hoặc
một Miền khác, nó sẽ cố gắng xoá Đối tượng Máy tính của mình.
Nếu máy tính không thể xoá được đối tượng do vấn đề trục trắc về
mạng, do không đủ quyền hoặc bất kể lý do nào khác, tài khoản này
vẫn còn trên Active Directory. Nó có thể xuất hiện, ngay lập tức
hoặc từ từ, như là bị vô hiệu hoá. Nếu đối tượng này là không cần
thiết tại Miền đó thì nó phải được xoá thủ công.
And Computers, chọn đối tượng và từ thực đơn Action chọn tiếp Reset
Account. Sau khi xác nhận lại sẽ xuất hiện hộp thông báo tình trạng tài
khoản đã được khởi tạo lại thành công. Bạn cũng có thể khởi tạo lại tài
khoản máy tính bằng cách sử dụng tiện ích dòng lệnh Netdom.exe.
LƯU Ý Mục đích kỳ thi Mục đích kỳ thi 70-290 đòi hỏi thí sinh có
khả năng “Khởi tạo lại tài khoản máy tính”.
Quản lý thuộc tính của Đối tượng Máy tính bằng Dsmod.exe
Công cụ Dsmod.exe có thể chỉnh sửa các thuộc tính của Đối tượng Máy
tính, cũng giống như đối với đối tượng người dùng và đối tượng nhóm.
Ngoài ra, bạn có thể sử dụng Dsmod.exe để vô hiệu hoá, kích hoạt và khởi
tạo lại Đối tượng Máy tính (nhưng không xóa được chúng). Cú pháp để
chỉnh sửa lại Đối tượng Máy tính của công cụ này như sau:
dsmod computer ComputerDN [parameters]
Chức năng của các tham số dòng lệnh như sau:
■ ComputerDN Chỉ ra DN của Đối tượng Máy tính cần chỉnh sửa.
■ -desc Description Chỉ ra giá trị thuộc tính Description của Đối tượng Máy
tính.
■ -loc Location Chỉ ra giá trị thuộc tính Location của Đối tượng Máy tính.
■ -disabled [yes|no] Vô hiệu hoá hoặc kích hoạt Đối tượng Máy tính đã
định.
■ -Reset Đặt lại mật khẩu của Đối tượng Máy tính đã định.
■ -s Server Chỉ ra tên của Máy chủ Điều khiển Miền mà chương trình dùng
để truy nhập tới Đối tượng Máy tính này. Khi bỏ trống thì chương trình mặc
định trỏ tới Máy chủ Điều khiển Miền mà người dùng đang đăng nhập.
■ -d Domain Chỉ ra tên của Miền mà Đối tượng Máy tính đang định vị trong
đó. Khi bỏ trống chương trình sẽ mặc định lấy Miền mà người dùng đang
đăng nhập.
■ -u UserName Chỉ ra tên của tài khoản người dùng chương trình sẽ sử
dụng truy nhập vào Miền. Khi bỏ trống, chương trình sẽ mặc định tài khoản
người dùng mà hệ thống đang đăng nhập.
■ -p [Password | *] Chỉ ra mật khẩu ứng với tài khoản người dùng đã chỉ ra
tại tham số -u . Nếu có dấu hoa thị (*), chương trình dừng lại và nhắc
người dùng nhập mật khẩu.
Để vô hiệu hoá tài khoản máy tính, sử dụng dòng lệnh sau:
dsmod computer CN=webserver1, CN=Computers, DC=ACNA, DC=com –
disabled yes
Để khởi tạo lại tài khoản máy tính, sử dụng dòng lệnh sau
dsmod computer CN=webserver1, CN=Computers, DC=ACNA, DC=com –
Reset
mạnh. Tuy nhiên, giống như các tài khoản người dùng, các tài khoản máy
tính đôi khi yêu cầu được bảo trì và khắc phục sự cố. Hiếm khi gặp tình
huống là một tài khoản hoặc kênh bảo mật bị bẻ gẫy, các dấu hiệu của lỗi
thường rất rõ ràng.
Các dấu hiệu phổ biến của sự cố tài khoản máy tính như sau:
• Thông báo lúc đăng nhập chỉ ra là không thể liên hệ được với Máy
chủ Điều khiển Miền, tài khoản máy tính đó có thể bị mất hoặc quan
hệ tin cậy (cách khác chỉ tới kênh bảo mật) giữa máy tính này và Miền
bị mất. Một ví dụ thông báo lỗi từ máy trạm Windows XP, như hình
8-15.
• Thông báo lỗi hoặc ghi lại các sự kiện chỉ ra các vấn đề tương tự hoặc
gợi ý là mật khẩu, sự tin cậy, kênh bảo mật, hoặc quan hệ với Miền
hoặc Máy chủ Điều khiển Miền bị lỗi.
• Tài khoản máy tính trong Active Directory bị mất.
Hình 8-15 Thông báo đăng nhập Windows XP chỉ ra có thể tài khoản
máy tính gặp sự cố
LƯU Ý Mục đích kỳ thi Mục đích của kỳ thi 70-290 yêu cầu thí sinh
có khả năng “khắc phục sự cố tài khoản máy tính” và “dự đoán và
giải quyết các vấn đề liên quan đến các tài khoản máy tính bằng
cách sử dụng bảng điều khiển Active Directory Users and
Computers.”
Nếu một trong các tình huống này xảy ra thì bạn phải khắc phục sự cố Tài
khoản Máy tính. Bạn đã được học ở phần trên là làm thế nào để xóa, vô hiệu
hóa, và khởi tạo lại tài khoản máy tính và làm thể nào để nhập được máy
tính vào Miền. Các quy tắc khắc phục sự cố tài khoản máy tính khi một
trong các sự kiện xảy ra như sau:
1. Nếu tài khoản máy tính đã có trong Active Directory thì bạn phải khởi
tạo lại nó.
2. Nếu tài khoản máy tính bị mất trong Active Directory thì bạn phải tạo
lại tài khoản máy tính.
3. Nếu máy tính vẫn thuộc Miền thì bạn phải di chuyển nó ra khỏi miền
bằng cách thay đổi quan hệ thành viên của nó sang Nhóm làm việc
(Worrkgroup). Tên của Nhóm làm việc là không quan trọng.
4. Nhập lại máy tính vào Miền. Cách khác là nhập một máy tính khác
vào Miền này, nhưng máy tính mới phải có cùng tên như tài khoản
máy tính.
Để khắc phục bất kỳ sự cố nào của tài khoản máy tính bạn áp dụng tất cả
các quy tắc này. Chúng có thể được tiến hành theo một thứ tự bất kỳ, trừ quy
tắc 4, nhập lại máy tính vào Miền phải luôn là bước cuối cùng. Hai tình
huống dưới đây minh hoạ việc sử dụng các quy tắc này:
• Người dùng phàn nàn là khi cô ấy đăng nhập, hệ thống xuất hiện
thông báo lỗi thống báo tài khoản máy tính có thể bị mất. Áp dụng
quy tắc 1, bạn mở Active Directory Users And Computers và tìm thấy
tài khoản máy tính trong Miền. Bạn khởi tạo lại đối tượng này. Không
áp dụng quy tắc 2 - đối tượng đã tồn tại. Sau đó, sử dụng quy tắc 3,
bạn tách rời hệ thống này ra khỏi Miền và theo quy tắc 4, kêt nối lại
nó vào Miền này.
• Tài khoản máy tính bị khởi tạo lại do rủi ro, vì thế quy tắc 1 là đã
được áp dụng. Dù cho việc khởi tạo lại là ngẫu nhiên, bạn vẫn phải
tiếp tục cứu lại bằng cách áp dụng ba quy tắc còn lại. Quy tắc 2 không
áp dụng do Đối tượng Máy tính đã tồn tại trong Miền. Theo quy tắc 3
và 4, tách máy tính ra khỏi Miền và sau đó nhập lại.
TỔNG KẾT
• Để người dùng đăng nhập vào Miền Active Directory, họ không chỉ
cần có Đối tượng Người dùng, mà còn phải có cả đối tượng đại diện
cho máy tính của họ. Đối tượng Máy tính đại diện cho một hệ thống
cụ thể trên mạng và chứa các thông tin thuộc tính về hệ thống.
• Các Đối tượng Máy tính có chức năng như là Chủ thể Bảo mật . Bạn
có thể đưa chúng vào các nhóm và gán cho chúng các Cấp phép.
• Để thêm máy tính vào Miền, bạn phải tạo Đối tượng Máy tính cho nó
trong Active Directory và sau đó kết nối máy vật lý với Miền. Đối
tượng Máy tính có thể được tạo trước hoặc trong tiến trình kết nối.
• Bạn phải đăng nhập với tư cách như là thành viên của nhóm
Administrators cục bộ để thay đổi quan hệ thành viên Miền của máy
tính.
• Để tạo Đối tượng Máy tính bạn có thể sử dụng bảng điều khiển Active
Directory Users And Computers, tiện ích Dsadd.exe hoặc
Netdom.exe. Nhóm Administrators và Account Operators có đủ
quyền tạo Đối tượng Máy tính mới và bạn cũng có thể uỷ quyền thích
hợp tới người dùng và nhóm khác.
• Đối tượng Máy tính mà không đóng vai trò là Máy chủ Điều khiển
Miền mặc định được đặt tại Đối tượng Chứa Computers . Bạn không
thể áp dụng chính sách nhóm cho Đối tượng Chứa này, bởi vậy các
Đối tượng Máy tính thường được đặt tại OU thay cho việc đặt tại vị trí
mặc định này.
• Để nhập một máy tính vào Miền, bạn sử dụng thẻ Computer Name tại
hộp thoại System Properties hoặc dùng tiện ích Netdom.exe. Nếu Đối
tượng Máy tính của máy tính chưa tồn tại thì khi bạn tiến hành nhập
nó vào Miền thì hệ thống sẽ tạo ra đối tượng này (giả thiết là bạn có
đủ các Cấp phép cần thiết để tạo nó.)
• Sử dụng bảng điều khiển Active Directory Users and Computers, tiện
ích Dsmod.exe và Dsrm.exe, bạn có thể quản lý các thuộc tính của
Đối tượng Máy tính cũng như xoá, vô hiệu hoá và khởi tạo lại chúng.
• Đối tượng Máy tính có Mã Định danh Bảo mật - SID mà Active
Directory sử dụng để chỉ dẫn đến các quan hệ thành viên nhóm của nó
và các Cấp phép khác. Việc bị xoá ngẫu nhiên là nguyên nhân làm
cho SID của nó bị mất không cứu lại được, bắt buộc bạn phải tạo lại
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 378 -
LÀM VIỆC VỚI TÀI KHOẢN MÁY TÍNH
các Cấp phép. Phải cẩn thận khi xoá Đối tượng Máy tính, thay vào đó
hãy vô hiệu hóa chúng và ta có thể kích hoạt lại chúng mà không mất
thông tin.
• Các bước chính để giải quyết sự cố của Đối tượng Máy tính bao gồm
việc tạo hoặc khởi tạo lại đối tượng, loại bỏ máy tính khỏi Miền và
nhập lại nó vào Miền.
Bài tập thực hành 8-2: Tạo Đối tượng Máy tính sử dụng
Dsadd.exe
Trong bài tập thực hành này, bạn tạo Đối tượng Máy tính mới sử dụng tiện
ích Dsadd.exe.
1. Đăng nhập vào Máy chủ Điều khiển Miền Windows Server 2003 với
tư cách là Administrator.
2. Bấm Start chạy Command Prompt. Xuất hiện dấu nhắc lệnh.
3. Tại dấu nhắc, gõ lệnh sau (với xx là số hiệu của bạn) và nhấn Enter:
dsadd computer "CN=Computer2, CN=Computers,
DC=ACNAxx, DC=com" –desc "Mark Lee's Workstation"
4. Bấm Start, trỏ tới Administrative tools và chọn Active Directory
Users And Computers. Xuất hiện bảng điều khiển Active Directory
Users And Computers.
5. Chọn Đối tượng Chứa Computers . Xác nhận là Đối tượng Máy tính
của máy tính Computer2 xuất hiện trong Đối tượng Chứa và có diễn
giải Description là “Mark Lee’s Workstation” trong thẻ General của
hộp thoại Properties của Đối tượng.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 380 -
LÀM VIỆC VỚI TÀI KHOẢN MÁY TÍNH
Bài tập thực hành 8-3: Vô hiệu hoá và kích hoạt Đối tượng
Máy tính
Trong bài tập thực hành này, bạn sẽ vô hiệu hoá và kích hoạt lại Đối tượng
Máy tính sử dụng Bảng điều khiển Active Directory Users And Computers.
1. Đăng nhập vào Máy chủ Điều khiển Miền Windows Server với tư
cách là Administrator.
2. Bấm Start, trỏ tới Administrative tools và chọn Active Directory
Users And Computers. Xuất hiện Bảng điều khiển Active Directory
Users And Computers.
3. Chọn Đối tượng Chứa Computers . Sau đó chọn Đối tượng Máy tính
Computer1 bạn đã tạo ở bài tập thực hành 8-1 và tại thực đơn Action
chọn Disable Account. Xuất hiện thông báo của Active Directory
nhắc bạn xác nhận lại lệnh.
4. Bấm Yes. Xuất hiện thông báo khác xác nhận là Đối tượng
Computer1 đã bị vô hiệu hoá.
5. Bấm Yes. Biểu tượng Computer1 xuất hiện cùng với dấu X màu đỏ.
6. Chọn lại Đối tượng Máy tính của máy tính Computer1 và tại thực đơn
Action chọn Enable Account. Xuất hiện thông báo của Active
Directory cho bạn biết là Đối tượng đã được kích hoạt.
7. Bấm Yes. Biểu tượng Computer1 xuất hiện không có dấu X màu đỏ
nữa.
6. Người dùng thông báo là khi tiến hành đăng nhập, anh ấy nhận được
thông báo tình trạng máy tính không thể liên hệ được với Miền vì
Máy chủ Điều khiển Miền bị tắt hoặc tài khoản máy tính có thể bị
mất. Bạn mở Active Directory Users And Computers và phát hiện ra
là tài khoản của máy tính bị mất. Các bước bạn nên làm là gì?
7. Một người dùng thông báo là khi tiến hành đăng nhập, anh ấy nhận
được thông báo tình trạng máy tính không thể liên hệ được với Miền
vì Máy chủ Điều khiển Miền bị tắt hoặc tài khoản máy tính có thể bị
mất. Bạn mở Active Directory Users And Computers và nhìn thấy tài
khoản xuất hiện bình thường. Các bước bạn nên làm là gì?
Dường như có vấn đề với tài khoản máy tính. Chỉ ra tại các bước nào sau
đây bạn nên thực hiện để giải quyết vấn đề này, theo đúng trật tự.
a. Xoá tài khoản máy tính.
b. Khởi tạo lại tài khoản người dùng.
c. Nhập máy tính vào Nhóm làm việc.
d. Vô hiệu hoá tài khoản máy tính.
e. Khởi tạo lại tài khoản máy tính.
f. Kích hoạt tài khoản máy tính.
g. Tạo tài khoản máy tính mới.
h. Nhập máy tính vào Miền.
PHẦN 3
QUẢN LÝ VÀ DUY TRÌ
CÁC NGUỒN TÀI
NGUYÊN CHIA SẺ
(Administrator) tạo và quản trị các đối tượng như: người dùng, nhóm và
máy tính chẳng hạn. Trong nhiều trường hợp, các Cấp phép Active Directory
được chuyển giao một lần cho các nhóm quản trị cụ thể và không cần phải
điều chỉnh lại trừ phi có sự tái cơ cấu lại cấu trúc tổ chức doanh nghiệp của
bạn.
như thế nào trong chương này). Để truy cập đến các Cấp phép Đặc biệt, bạn
kích chuột vào nút Advanced trong Thẻ Security, để hiển thị hộp thoại
Advanced Security Settings như trong hình vẽ 9.2.
Tính kế thừa
Một trong những đặc tính quan trọng của các hệ thống Cấp phép trên
Windows Server 2003 đó là các đối tượng con sẽ thừa hưởng các Cấp phép
từ đối tượng cha. Các Cấp phép luôn luôn đi theo một “dòng chảy” dựa trên
tính chất phân cấp của hệ thống file, kiến trúc phân cấp của dịch vụ Active
Directory hay cấu trúc của registry. Khi bạn gán Cấp phép truy cập đến một
thư mục NTFS hoặc chia sẻ, một đối tượng Active Directory hoặc khóa
registry cho một đối tượng bảo mật nào đó, đối tượng này cũng sẽ nhận
được các Cấp phép giống hệt khi truy cập đến các thư mục con bên trong thư
mục NTFS hoặc chia sẻ, các đối tượng con bên trong đối tượng Active
Directory hoặc các khóa con bên trong một khóa xác định.
Ví dụ, bạn gán Cấp phép cho một người dùng tại thư mục gốc của ổ đĩa
NTFS điều đó có nghĩa rằng người dùng sẽ nhận được các Cấp phép giống
hệt trên tất cả các file và thư mục con nằm trên ổ đĩa đó. Trong hầu hết các
trường hợp, sự kế thừa Cấp phép có ưu điểm to lớn là tránh cho người quản
trị phải cung cấp các Cấp phép riêng biệt cho từng thư mục con, từng đối
tượng trên dịch vụ Active Directory hoặc các khóa. Trong thực tế, đối với
hầu hết các nhà quản trị mạng, ưu điểm tiếp theo được tính đến của tính kế
thừa là ứng dụng chúng khi thiết kế cấu trúc dịch vụ thư mục, chia sẻ trạng
thái và các cây Active Directory.
Tuy nhiên, trong một số trường hợp sự kế thừa này là không cần thiết và để
loại bỏ tính chất mặc định này chúng ta có hai phương pháp:
■ Tắt tính năng kế thừa: khi bạn làm việc trên các Cấp phép đặc
biệt, bạn có thể điều khiển các Cấp phép mà bạn gán cho một thành
phần xác định có được cho một số hoặc tất cả các thành phần con
bên trong kế thừa hay không.
■ Cấm các Cấp phép: tất cả các hệ thống Cấp phép đều cho phép
bạn ngăn cấm một Cấp phép cụ thể đối với một đối tượng xác định.
Điều này sẽ ngăn cản Cấp phép kế thừa mà đối tượng nhận được từ
các đối tượng cha.
khác nhau tương tác với nhau như thế nào. Tất cả các Cấp phép mà một đối
tượng nhận được một cách riêng rẽ thông qua tính kế thừa và thành viên
nhóm đều là các thông số đầu vào cho các luật này. Chúng có nhiệm vụ kết
hợp các Cấp phép này lại và tạo nên các Cấp phép Hiệu dụng của người
dùng.
Các luật tạo nên các Cấp phép Hiệu dụng của các đối tượng bao gồm:
■ Các Cấp phép cho phép (Allow) là tích lũy: tất cả các Cấp phép
cho phép được gán cho một đối tượng được kết hợp để tạo nên các
Cấp phép ảnh hưởng của đối tượng đó. Ví dụ, một người dùng nào
đó được gán Cấp phép truy cập toàn quyền (Full Control) đến một
thư mục trên ổ đĩa NTFS. Tuy nhiên lúc này người dùng cũng đang
là thành viên của một nhóm có Cấp phép truy cập chỉ đọc (read-
only) trên thư mục này. Ngoài ra, người dùng còn thừa hưởng Cấp
phép read và write từ thư mục cha của thư mục nói trên. Trong
trường hợp này tất cả các Cấp phép của người dùng bất kể là được
gán hay thừa hưởng từ bất kỳ nguồn nào cũng sẽ được kết hợp lại.
■ Các Cấp phép ngăn cấm (Deny) loại bỏ các Cấp phép cho phép
(Allow): các Cấp phép deny mà một đối tượng nhận được sẽ loại bỏ
tất cả các Cấp phép allow bất kể từ nguồn nào. Ví dụ, nếu một
người dùng nhận được Cấp phép truy cập toàn quyền tới một thư
mục thông qua tính kế thừa và đồng thời cũng nhận được Cấp phép
truy cập toàn quyền thông qua cơ chế thành viên nhóm. Tuy nhiên
Cấp phép mà bạn tạo ra nhằm ngăn chặn người dùng này truy cập
tới thư mục nói trên sẽ ghi đè tất các Cấp phép thừa hưởng từ thư
mục cha và nhóm. Vì vậy trong trường hợp này, Cấp phép Hiệu
dụng của người dùng là không được phép (Deny) truy cập tới thư
mục này.
■ Các Cấp phép gán riêng rẽ có mức độ ưu tiên cao hơn các Cấp
phép kế thừa: khi một đối tượng bảo mật kế thừa các Cấp phép từ
đối tượng cha hoặc thông qua nhóm, bạn có thể loại bỏ các Cấp
phép này bằng cách gán trực tiếp các Cấp phép khác nhau cho
chính đối tượng đó. Các Cấp phép kế thừa tuân theo luật còn các
Cấp phép gán riêng rẽ nằm ngoài luật đó. Vì vậy, các Cấp phép cho
phép gán riêng rẽ sẽ loại bỏ các Cấp phép kế thừa ngăn cấm.
màn hình giao diện (hay còn gọi là bảng điều khiển hệ thống – System
Console) với giả thiết bạn có các Cấp phép thích hợp. Bạn cũng có thể cho
phép các người dùng trên mạng truy cập tới các file và thư mục trên máy
tính của bạn, nhưng để làm được điều đó trước hết bạn phải tạo một chia sẻ
nhằm xác định những gì mà họ có thể truy cập.
THÔNG TIN THÊM Bạn có thể tạo ra hai loại chia sẻ trên các
máy tính sử dụng hệ điều hành Windows: các chia sẻ trên hệ thống
file và các chia sẻ máy in. Trong chương này bạn sẽ được làm quen
với các chia sẻ trên hệ thống file. Việc tạo các chia sẻ máy in sẽ
được đề cập trong chương 10.
Tính năng để tạo ra các chia sẻ trên Windows Server 2003 được dựa trên hai
dịch vụ được chạy trên mỗi máy tính Windows: dịch vụ Workstation (dịch
vụ máy trạm) và dịch vụ Server (dịch vụ máy chủ). Hai dịch vụ này được
thực hiện bởi hai module: Client For Microsoft Networks và File And
Printer Sharing For Microsoft Networks. Cả hai module nói trên đều xuất
hiện trong hộp thoại Local Area Connection Properties của tất cả các giao
diện mạng được cài đặt trên máy tính (xem hình vẽ 9-4). Dịch vụ Server
chịu trách nhiệm tạo ra các tài nguyên chia sẻ sẵn sàng trên mạng còn dịch
vụ Workstation cho phép các máy tính khác truy cập tới những tài nguyên
này.
CHÚ Ý Workstations và Servers Mặc dù các tên này có nhiều
phiên bản khác nhau nhưng Windows là một hệ điều hành ngang
hàng (peer-to-peer) có nghĩa là mỗi máy tính đều có khả năng hoạt
động được cả ở chế độ máy trạm lẫn máy chủ. Thậm chí các máy
tính không sử dụng hệ điều hành có tên Server trên đó vẫn có thể
chạy dịch vụ Server.
Hình 9-5: Các chia sẻ quản trị trong snap-in Shared Folders
■ Các chia sẻ ổ đĩa Mỗi ổ đĩa trên máy tính đều có một chia sẻ quản
trị mặc định tại mức gốc. Chia sẻ này sẽ được đặt tên dựa theo ký
tự ổ đĩa viết hoa và ký tự $ (ví dụ C$). Ký tự này làm cho chia sẻ
không được hiển thị trong My Network Places mặc dù vẫn có thể
truy cập chúng trực tiếp bằng cách sử dụng snap-in Shared Folders
trong MMC bằng việc tạo một shortcut hoặc sử dụng Windows
Explorer. Mặc định nhóm Administrators (nhóm quản trị) được
gán Cấp phép Full Control cho các chia sẻ này. Các Cấp phép này
là không thể thay đổi hay xóa được.
(Group Policy Object – chính sách nhóm) và các script (kịch bản),
chúng sẽ được nhân bản đến các máy tính khác thuộc Miền. Các
nhóm Administrators và Authenticated Users (nhóm những người
sử dụng được xác thực) có Cấp phép Full Control trên chia sẻ này
trong khi nhóm đặc biệt Everyone chỉ có Cấp phép Read.
■ NETLOGON Khi bạn nâng cấp một máy tính Windows Server
2003 thành một Máy chủ Điều khiển Miền, hệ thống sẽ chia sẻ thư
mục Systemroot\SYSVOL\sysvol\<tên Miền>\SCRIPTS và đặt tên
nó là NETLOGON. Đây là một chia sẻ được tạo ra nhằm tạo tính
tương thích ngược cho các hệ điều hành mạng trước đây. Máy chủ
Điều khiển Miền sử dụng chia sẻ này nhằm cung cấp chức năng cơ
bản giống như SYSVOL cho các Máy chủ Điều khiển Miền
Windows NT4. Nhóm Administrators có Cấp phép Full Control
(toàn quyền) trên chia sẻ này trong khi nhóm đặc biệt Everyone chỉ
có Cấp phép Read.
CHÚ Ý Các chia sẻ ẩn Bản chất ẩn của các chia sẻ quản trị không
giới hạn các chia sẻ xác định khác. Bạn có thể ẩn bất kỳ chia sẻ nào
bằng cách sử dụng ký tự $ tại cuối của tên chia sẻ. Nó không ngăn
ngừa người sử dụng truy cập tới các chia sẻ, nó chỉ ngăn không cho
chúng hiển thị trong Windows Explorer.
■ Trên ổ đĩa NTFS: Nếu thư mục mà bạn định chia sẻ trên ổ đĩa
NTFS, bạn phải đăng nhập vào máy tính với tài khoản có ít nhất
Cấp phép Read rrên thư mục đó.
Cũng như nhiều các công việc khác trên Windows Server 2003, bạn có thể
tạo các thư mục chia sẻ theo nhiều cách. Trong phần sau sẽ cung cấp một số
các công cụ giúp bạn tạo và quản trị các thư mục chia sẻ.
CHÚ Ý Mục đích của kỳ thi Mục đích của kỳ thi 70-290 yêu cầu
học viên có thể "cấu hình truy cập tới các thư mục chia sẻ"
Hình 9-6: Thẻ Sharing trên hộp thoại Properties của folder
Khi bạn lựa chọn Share This Folder, bạn sẽ thực hiện công việc kích hoạt
các điều khiển khác trong thẻ Sharing cho phép cấu hình các tham số sau:
■ Share Name (tên chia sẻ): Xác định tên hiển thị trên mạng của thư
mục chia sẻ. Mặc định, tên của thư mục xuất hiện trong hộp văn
bản nhưng bạn có thể đặt bất cứ tên nào với chiều dài cho phép lên
tới 80 ký tự. Trường này là bắt buộc.
■ Description (mô tả): cho phép bạn cung cấp các thông tin thêm về
thư mục chia sẻ như: mục đích của thư mục chia sẻ, nội dung của
nó hoặc bất kỳ thông tin khác. Trường này là không bắt buộc.
■ User limit (giới hạn người sử dụng): cho phép bạn xác định có bao
nhiêu người có khả năng kết nối tới thư mục chia sẻ tại cùng một
thời điểm. Đặc tính này giúp bạn ngăn ngừa tình trạng các tài
nguyên hệ thống bị qúa tải do có quá nhiều người sử dụng truy cập
đồng thời.
■ Permissions (Cấp phép truy cập): cho phép bạn xác định ai có Cấp
phép truy cập đến thư mục chia sẻ và mức độ truy cập. Để biết
thêm chi tiết về vấn đề này xem phần “quản lý các Cấp phép chia
sẻ” trong chương này.
■ Offline Settings (các thiết lập về cơ chế làm việc không kết nối): có
cho phép người sử dụng mạng lưu trữ tạm thời nội dung thư mục
chia sẻ trên máy tính của họ hay không. Để biết thêm chi tiết về vấn
đề này, xin xem phần “điều khiển lưu trữ không kết nối” trong
chương này.
Một khi bạn đã hoàn tất việc cấu hình các tham số trong thẻ Sharing, nhấp
OK để tạo thư mục chia sẻ. Để xác nhận thư mục đã được chia sẻ, bạn có
một vài phương pháp bao gồm:
■ Trong Windows Explorer, phần My Computer thư mục được chia
sẻ sẽ có biểu tượng hình bàn tay mở ra.
Lúc này, các người dùng trên mạng có thể truy cập đến thư mục chia sẻ và
các file/thư mục bên trong nó nếu họ có Cấp phép truy cập thích hợp.
chọn các thư mục trên các máy tính khác và chia sẻ nó. Tuy nhiên, Windows
Server 2003 cho phép bạn thực hiện điều đó nhờ công cụ Shared Folders,
một dang snap-in MMC.
Snap-in Shared Folders được tích hợp vào trong màn hình quản trị
Windows Server 2003 như trên hình vẽ 9-9. Bạn cũng có thể tạo một màn
hình quản trị MMC tùy biến chứa Shared Folders và bất kỳ snap-in nào mà
bạn muốn. Nhấp vào thư mục con Shares của snap-in sẽ hiển thị một danh
sách các chia sẻ hiện tại trên máy tính kể cả những chia sẻ ẩn không hiển thị
trong Windows Explorer.
■ Permissions (các Cấp phép) lựa chọn Cấp phép mà bạn muốn gán
cho thư mục chia sẻ.
Kết thúc Trình hướng dẫn, hệ thống sẽ đưa chia sẻ mới vào danh sách.
Tự động lưu tất cả tài liệu chia sẻ offline trên các máy trạm của
người sử dụng. Đánh dấu chọn tại hộp kiểm tra Optimized For
Performance sẽ tự động ghi vào bộ nhớ đệm tất cả các chương
trình dùng để thực thi nội bộ trên máy trạm. Các tham số dòng lệnh
cho Net.exe là /cache:documents và /cache:programs.
■ Files And Programs From The Share Will Not Be Available
Offline (Các file và chương trình trên thư mục chia sẻ sẽ không
được dùng ở cơ chế offline) Ngăn không cho tất cả các tài liệu và
các file thực thi được lưu trữ offline trên máy trạm. Các thông số
dòng lệnh tương ứng cho Net.exe là /cache:none.
Hình 9-12: Thẻ Publish trong hộp thoại Properties của thư mục chia sẻ
Để công bố một thư mục chia sẻ trên Active Directory, bạn cần lựa chọn hộp
kiểm tra Publish This Share In Active Directory và cung cấp tên của người
sở hữu thư mục chia sẻ đó. Bạn cũng có thể cung cấp các từ khóa miêu tả
nội dung đối tượng chia sẻ nhằm tăng tính hiệu quả của quá trình tìm kiếm
thông tin.
Hình 9-13: Thẻ Share Permissions trong hộp thoại Properties của thư
mục chia sẻ
Hệ thống phân Cấp phép cho các chia sẻ là một trong những hệ thống đơn
giản nhất trong Windows Server 2003. Trong trường hợp này, không có sự
phân biệt giữa các Cấp phép Chuẩn và Cấp phép Đặc biệt mà chỉ có 3 Cấp
phép đơn giản như sau:
■ Read (Đọc): Người dùng có thể hiển thị tên thư mục, tên file, nội
dung file và các thuộc tính. Người dùng cũng có thể thực thi các
file chương trình (ví dụ các file .exe, .com,….) và truy cập tới các
thư mục khác trong thư mục chia sẻ.
■ Change (Thay đổi): Người dùng có thể tạo các thư mục, thêm file
vào thư mục, thay đổi nội dung của file, thêm dữ liệu vào file, thay
đổi thuộc tính file, xóa thư mục và file cũng như thực hiện các hoạt
động cho phép trên Cấp phép Read.
■ Full Control (Toàn quyền điều khiển): người dùng có thể thay đổi
các Cấp phép truy cập file, chiếm Cấp phép sở hữu file và thực hiện
mọi công việc cho phép trên Cấp phép Change.
Để thiết lập các Cấp phép truy cập, nhấp vào Add, lựa chọn đối tượng bảo
mật (như người dùng, nhóm hoặc máy tính) rồi xác định các Cấp phép mà
bạn cho phép hay ngăn cấm đối với các đối tượng đó. Bạn có thể chọn các
đối tượng đã có sắn trong danh sách Group Or User Names để thay đổi các
Cấp phép theo ý muốn.
■ Dễ mất: Các Cấp phép chia sẻ sẽ bị mất khi bạn di chuyển hay đổi
tên thư mục đang chia sẻ.
■ Không kiểm soát (Audit): Bạn không thể cấu hình sự kiểm soát
dựa trên các Cấp phép chia sẻ.
Ưu điểm duy nhất của các Cấp phép chia sẻ là đơn giản hóa hệ thống và
chúng luôn sẵn sàng đối với mọi hệ thống file được Windows Server 2003
hỗ trợ. Trong ổ đĩa dùng hệ thống file FAT, các Cấp phép chia sẻ là cách
duy nhất để quản lý sự truy cập vào đĩa.
Trong các mạng nhỏ với ít các yêu cầu bảo mật, Cấp phép chia sẻ có thể là
một giải pháp chấp nhận được. Tuy nhiên trong hầu hết các trường hợp,
người quản trị mạng sẽ lựa chọn các Cấp phép linh hoạt và mạnh mẽ hơn
được cung cấp bởi hệ thống file NTFS. Nếu bạn lựa chọn giải pháp này, cần
chú ý đến các điểm sau:
■ Hệ thống Cấp phép chia sẻ sẽ vẫn có bất kể bạn có dùng NTFS hay
không
■ Hệ thống Cấp phép chia sẻ là hoàn toàn độc lập đối với hệ thống
Cấp phép NTFS
■ Cả hai hệ thống Cấp phép này đều có thể áp dụng trên cùng một đối
tượng.
Do đó, cách tốt nhất để sử dụng Cấp phép NTFS để quản lý truy cập là cho
tất cả người sử dụng (được biết đến thông qua nhóm Everyone) Cấp phép
Full Control trên tất cả các thư mục chia sẻ. Điều này sẽ tránh mọi xung
đột giữa hai hệ thống Cấp phép. Nghĩa là bạn nên sử dụng một trong hai Cấp
phép nói trên để quản lý file nhưng không nên dùng đồng thời cả hai.
Nếu không dùng cách này, Cấp phép Hiệu dụng người dùng nhận được là sự
kết hợp Cấp phép của cả hai hệ thống. Ví dụ nếu bạn gán Cấp phép chia sẻ
Đọc (Read) và Cấp phép NTFS là toàn quyền điều khiển (Full Control) cho
nhóm Users thì tổng hợp lại người sử dụng sẽ chỉ nhận được các giới hạn do
Cấp phép chia sẻ cung cấp. Điều này, cùng với sự phức tạp khi thừa kế,
thành viên nhóm, các Cấp phép bị từ chối có thể sẽ gây nên một cơn ác
mộng.
Một trong những nguyên nhân thông thường nhất đối với việc truy cập hệ
thống file chia sẻ là xung đột giữa Cấp phép chia sẻ và Cấp phép NTFS. Khi
giải quyết các vấn đề như thế này, cần kiểm tra cả hai loại Cấp phép để chắc
chắn người dùng nhận được Cấp phép truy cập tới file họ cần.
THÔNG TIN THÊM: Lợi ích và khả năng của hệ thống Cấp phép
NTFS sẽ được miêu tả chi tiết ở phần sau của chương này.
các file chia sẻ được lưu trên thư mục có tên riêng và tạo các Cấp phép chia
sẻ trên các thư mục này.
Mọi file và thư mục trên ổ đĩa NTFS có một ACL chứa các ACE, liệt kê các
đối tượng bảo mật được gán Cấp phép trên các file/thư mục đó. Khi người
dùng truy cập tới một file hoặc thư mục, hệ thống sẽ so sánh thẻ truy cập bí
mật của người sử dụng (chứa các nhận dạng bảo mật (SIDs) của tài khoản
người dùng) với các SID trong các ACE của ACL (các SID này là của các
nhóm mà người dùng là thành viên). Một khi người sử dụng đã được xác
thực, Cấp phép truy cập tới file/folder sẽ được cấp.
So với Cấp phép chia sẻ được đề cập trong chương trước, Cấp phép NTFS
có rất nhiều ưu điểm bao gồm:
■ Phạm vi (scope): các Cấp phép NTFS áp dụng trên file và thư mục
bất kể phương pháp mà nó được truy cập. Người dùng truy cập cục
bộ hay kết nối qua mạng bằng bất cứ phương tiện nào đều bị quản
lý bởi các Cấp phép giống nhau.
■ Tính linh hoạt (Flexibility): NTFS cung cấp một danh sách dài các
Cấp phép đặc biệt, chúng có thể kết hợp lại với nhau để tạo nên các
Cấp phép chuẩn, đều có thể áp dung cho bất cứ file/folder nào trên
ổ đĩa. Đồng thời NTFS cho phép điều khiển toàn bộ thông qua tính
kế thừa Cấp phép.
■ Tính sao chép (replication): Cấp phép NTFS được sao chép bởi
FRS.
■ Tính giữ nguyên trạng thái (resilience): khi sao lưu hay khôi
phục dữ liệu trên một ổ đĩa, các Cấp phép NTFS cũng được đính
kèm. Vì vậy bạn không phải lo lắng về việc sửa chữa lại các Cấp
phép NTFS khi có sự cố xảy ra.
■ Không thay đổi (Less fragile): Cấp phép NTFS sẽ không bị mất
nếu bạn di chuyển hay đổi tên file/folder có các Cấp phép đang áp
dụng (miễn là file hay thư mục vẫn nằm trên cùng ổ NTFS)
■ Khả năng kiểm định (Audit): bạn có thể giám sát và ghi lại quá
trình truy cập tới các file/folder NTFS của các đối tượng bảo mật.
Làm việc với các Cấp phép NTFS phức tạp hơn nhiều so với Cấp phép chia
sẻ, nhưng với các tính năng bảo vệ mà nó đem lại thì NTFS thực sự là một
công cụ tuyệt vời cho người quản trị mạng.
hộp thoại Properties với thẻ Security như trên hình 9-14, bạn có thể dùng để
thiết lập các Cấp phép NTFS chuẩn cho file/folder đó cũng như truy cập tới
các Cấp phép điều khiển phức tạp hơn được thảo luận ở phần dưới của
chương này.
Quá trình gán các Cấp phép NTFS chuẩn cho file/folder tương tự như việc
gán các Cấp phép chia sẻ. Bạn phải chọn đối tượng chia sẻ trong danh sách
"Group Or User Names" hay nhấp "Add" để thêm đối tượng bảo mật mới.
Tiếp theo bạn phải lựa chọn các hộp kiểm tra Allow (cho phép) hay Deny
(cấm) trên các Cấp phép mà bạn muốn cung cấp cho đối tượng trong hộp
Permissions. Các Cấp phép NTFS chuẩn và các công việc mà bạn có thể
thực hiện được với các Cấp phép đó được liệt kê trên bảng 9-1.
CHÚ Ý: Các Cấp phép trên file/folder Có một sự khác biệt nhỏ
giữa Cấp phép được gán một file và thư mục. Cấp phép List Folder
Contents (liệt kê nội dung thư mục) không áp dụng cho file.
Cấp phép Khi gán cho một thư mục, Khi gán cho một file, cho
NTFS cho phép chủ thể bảo mật: phép chủ thể bảo mật:
chuẩn
Read and ■ Cho phép đi qua ■ Cho phép thực hiện tất
Excute các thư mục bị ngăn cả các chức năng do
cản để tới các file Cấp phép Read cung
và thư mục khác. cấp.
■ Cho phép thực hiện ■ Chạy các ứng dụng
tất cả các chức năng
do Cấp phép Read
và List Folder
Contents cung cấp.
Full ■ Thay đổi các Cấp ■ Thay đổi các Cấp phép
Control phép trên thư mục trên file
■ Chiếm Cấp phép sở ■ Chiếm Cấp phép sở
hữu thư mục hữu file
■ Xóa các thư mục ■ Cho phép thực hiện tất
con và các file nằm cả các chức năng do tất
trong thư mục cha cả các cấp phép NTFS
■ Cho phép thực hiện khác cung cấp.
tất cả các chức năng
do tất cả các Cấp
phép NTFS khác
cung cấp.
CHÚ Ý: Các Cấp phép thừa kế Khi hộp kiểm tra trong thẻ Security
được chọn và có màu xám, có nghĩa là Cấp phép này được kế thừa
từ thư mục cha.
ngăn cách bởi một dấu chéo có nghĩa là Cấp phép đầu tiên sẽ được áp dụng
cho thư mục và Cấp phép tiếp theo sẽ áp dụng cho file.
■ Traverse Folder/Execute File (duyệt thư mục/thực thi các file)
Cấp phép Traverse Folder cho phép hay ngăn cấm các đổi tượng
bảo mật khả năng di chuyển qua các thư mục mà họ không có Cấp
phép truy cập, vì vậy họ có thể tới được file hay thư mục mà họ có
Cấp phép. Cấp phép này chỉ áp dụng cho các thư mục. Cấp phép
Execute File cho phép hay ngăn cấm các đối tượng chạy chương
trình. Cấp phép này chỉ áp dụng cho file.
■ List Folder/Read Data (Liệt kê thư mục/Đọc dữ liệu) Cấp phép
List Folder cho phép hay ngăn cấm các đối tượng bảo mật khả
năng hiển thị file và tên các thư mục con. Cấp phép này chỉ áp dụng
vào các thư mục. Cấp phép Read Data cho phép hay ngăn cấm các
đối tượng xem nội dung file. Cấp phép này chỉ áp dụng cho các file.
■ Read Attributes (Đọc thuộc tính) Cho phép hay ngăn cấm các đối
tượng bảo mật khả năng xem các thuộc tính NTFS của file hay thư
mục.
■ Read Extended Attributes (Đọc thuộc tính mở rộng) Cho phép
hay ngăn cản các đối tượng bảo mật khả năng xem các thuộc tính
mở rộng của file hay thư mục.
■ Create Files/Write Data (tạo các file/thay đổi nội dung) Cấp phép
Create Files cho phép hay ngăn cản đối tượng bảo mật khả năng
tạo file trong thư mục. Cấp phép này chỉ áp dụng cho các thư mục.
Cấp phép Write Data cho phép hay ngăn cấm đối tượng khả năng
thay đổi nội dung file sẵn có. Cấp phép này chỉ áp dụng cho các
file.
■ Create Folders/Append Data (Tạo thư mục/Chèn dữ liệu) Cấp
phép Create Folders cho phép hay ngăn cản đối tượng bảo mật khả
năng tạo thư mục con trong một thư mục. Cấp phép này chỉ áp
dụng cho các thư mục. Cấp phép Append Data cho phép hay ngăn
cấm đối tượng khả năng thêm dữ liệu vào cuối file nhưng không
được thay đổi nội dung sẵn có trong file. Cấp phép này chỉ áp dụng
cho file.
■ Write Attributes (thay đổi thuộc tính) Cho phép hay ngăn cấm đối
tượng bảo mật khả năng thay đổi các thuộc tính NTFS của một file
hay thư mục sẵn có.
tính mở rộng)
■ Read Permissions (đọc các Cấp phép)
■ Synchronize (đồng bộ)
Khi thay đổi một Mục vào Cấp phép, bạn có thể thay đổi bất kỳ thông số nào
dưới đây:
■ Name (Tên) Xác định tên của đối tượng bảo mật được gán Cấp
phép. Khi bạn muốn thay đổi Cấp phép từ một đối tượng này sang
một đối tượng khác, thay vì tạo ra một ACE mới, bạn có thể dùng
giao diện này để thay đổi tên đối tượng được gán
■ Apply Onto (Gán cho) Xác định đối tượng nào được gán Cấp phép
bằng cách sử dụng các lựa chọn trên hình 9-17. Giao diện này cho
phép bạn điều khiển hoàn toàn tính kế thừa các Cấp phép được gán
cho một thư mục cha: cho các file, các thư mục, các thư mục con và
các file sâu hơn nữa.
các thư mục con và file vẫn nhận được ACE từ thư mục cha. Để
ngăn không cho các đối tượng con kế thừa chỉ cần ngăn không cho
chúng nhận các Cấp phép trong ACE. Trường hợp ACE được kế
thừa bởi một số lượng lớn các đối tượng con điều này sẽ ảnh hưởng
tới hoạt động của mạng, khi đó sử dụng lựa chọn Apply Onto sẽ
không phải là một giải pháp tốt để giới hạn kế thừa Cấp phép.
Hình 9-18: Thẻ Effective Permissions của hộp thoại Advanced Security
Settings
CHÚ Ý Mục tiêu của kỳ thi Mục tiêu cho môn thi 70-290 yêu cầu
học viên có thể "xác định Cấp phép Hiệu dụng khi gán Cấp phép"
Mặc dù thẻ Effective Permissions rất thuận tiện để sửa các lỗi liên quan tới
việc truy cập các file chia sẻ tuy nhiên nó cũng không được thật sự hoàn hảo.
Cấp phép Hiệu dụng hiển thị trên giao diện này được xác định nhờ tổng hợp
các vấn đề sau:
■ Các Cấp phép được gán riêng rẽ cho đối tượng
■ Cấp phép kế thừa từ đối tượng cha
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
423
CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE
CHÚ Ý Mục tiêucủa kỳ thi Mục tiêu của môn thi 70-290 yêu cầu
học viên có khả năng "thay đổi quyền sở hữu của file hay thư mục"
Quyền sở hữu file hay thư mục có hai mục tiêu chính sau
■ Các chủ sở hữu có thể thay đổi các ACL Bất kể chủ sở hữu của
một file hay thư mục có Cấp phép gì anh ta vẫn có thể thay đổi
được ACL của file hay thư mục. Vì vậy có thể coi sự sở hữu như
một cơ chế dự phòng khi có một ai đó khóa file hay thư mục đối
với tất cả mọi người. Ví dụ nếu bạn tạo một file mới và ngẫu nhiên
bỏ hết mọi Cấp phép của bạn đối với file đó, quyền sở hữu file cho
phép bạn có thể thay đổi ACL và khôi phục lại các Cấp phép.
■ Hạn ngạch đĩa được xác định theo chủ sở hữu Hạn ngạch đĩa
cho phép người quản trị theo dõi và kiểm soát mỗi người sử dụng
có thể sử dụng bao nhiêu không gian đĩa cứng trên máy chủ. Bạn sẽ
được học vấn đề này trong chương 12.
Ngoài Cấp phép Take Ownership (chiếm quyền sở hữu) cũng có hai Cấp
phép nhằm cung cấp khả năng quản lý chủ sở hữu của file hoặc thư mục
NTFS:
■ Take Ownership Of Files Or Other Objects (chiếm quyền sở hữu
của các file và các đối tượng khác) Người dùng hay nhóm sở hữu
Quyền này có thể chiếm quyền của bất kỳ file hay thư mục NTFS.
Mặc định, nhóm Administrators nhận được quyền này từ chính
sách nhóm Default Domain Controller Policy (chính sách nhóm
mặc định dùng cho các máy chủ điều khiển vùng).
■ Restore Files And Directories (phục hồi các file và thư mục)
Người dùng hay nhóm sở hữu Quyền này có thể chiếm quyền sở
hữu của bất kỳ file hoặc thư mục NTFS nào hay gán quyền sở hữu
cho người dùng hay nhóm khác. Mặc định, chính sách nhóm
Default Domain Controller Policy sẽ gán Quyền này cho các nhóm
Administartors (nhóm quản trị), nhóm Backup Operator (thực hiện
các công việc sao lưu) và nhóm Server Operators (nhóm quản trị
các hoạt động trên máy chủ).
Để xem hay chiếm quyền sở hữu của file hay thư mục, mở hộp thoại
Advanced Security Settings và chọn thẻ Owner như trên hình 9-19. Thẻ này
liệt kê chủ sở hữu hiện thời của file hay thư mục. Nếu bạn có Cấp phép đặc
biệt Take Ownership đối với file hay thư mục hoặc có quyền Take
Ownership Of Files Or Other Objects, bạn có thể lựa chọn tài khoản của
bạn trong hộp Change Owner To rồi nhấn Apply hay OK để chiếm quyền sở
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
425
CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE
hữu đối tượng đó. Nếu bạn có quyền Restore Files And Directories, bạn
cũng có thể nhấn vào Other Users Or Groups để lựa chọn đối tượng bảo
mật khác rồi cấp quyền sở hữu đối tượng đó cho nó.
Hình 9-19: Thẻ Owner của hộp thoại Advanced Security Settings
Nếu bạn là người chủ sở hữu hiện tại cuả file hay thư mục và bạn muốn
chuyển quyền sở hữu cho người khác nhưng bạn lại không có quyền Restore
Files And Directories, bạn vẫn có thể thay đổi ACL và cấp cho người sử
dụng đó Cấp phép Take Ownership. Sau đó người sử dụng kia sẽ dùng các
tiến trình như trên để chiếm quyền sử dụng của file hay thư mục.
IIS là một ứng dụng của Windows Server 2003 có khả năng công bố các file
và các ứng dụng bằng việc sử dụng các giao thức chuẩn Internet như HTTP
(là một giao thức chuẩn cho truyền thông Web ) và FTP . So sánh với việc
chia sẻ file thông thường, việc chia sẻ file trong IIS, với cấu hình mặc định
của IIS, là một phương pháp hạn chế trong việc công bố các file . Vì các lý
do an ninh , IIS được cài đặt trong chế độ khóa và bảo mật cho phép máy
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
426
CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE
chủ chỉ cung cấp nội dung tĩnh cho các máy trạm. Người dùng có thể lấy các
file từ một máy chủ IIS về ổ đĩa nội bộ của mình và làm việc với chúng trên
máy cá nhân nhưng họ không thể mở file trực tiếp từ máy chủ cũng như lưu
các phiên bản được sửa đổi so với trạng thái ban đầu của file như họ vẫn làm
trên hệ thống file chia sẻ thông thường. Tuy nhiên , kể cả khi ở trong trạng
thái khóa, IIS vẫn cung cấp những phương tiện để phổ biến các file một cách
dễ dàng và bảo mật. Trong các phần sau đây, chúng bạn sẽ học cách cài đặt
và cấu hình IIS trên một máy tính chạy Windows Server 2003 và quản lý
vấn đề bảo mật của một máy chủ IIS .
Sau khi bạn hoàn tất Trình hướng dẫn , Windows Server 2003 sẽ cài đặt các
thành phần mà bạn đã lựa chọn và kích hoạt dịch vụ World Wide Web
Publishing.
Thẻ Web Site của hộp thoại Properties (hình vẽ 9-21), chứa các thiết lập xác
định cách thức các máy trạm có thể truy nhập tới Web Site. IIS có thể duy trì
(Host) một số lượng không giới hạn các Web site ảo trên một máy tính,
nhưng để cho các máy trạm có thể truy nhập được tới chúng, phải có một
cách thức để phân biệt giữa site này với các site khác.
Hình 9-21: Thẻ Web Site trong hộp thoại Properties của một Web site
Các máy chủ Web thông thường sử dụng các kỹ thuật sau đây để duy trì
nhiều site cùng lúc :
■ Các địa chỉ IP khác nhau: Bằng cách cấu hình máy tính với nhiều
địa chỉ IP khác nhau và gán mỗi địa chỉ IP khác nhau cho một Web
site, máy chủ Web có thể hướng các yêu cầu tới site thích hợp, dựa
trên địa chỉ IP được xác định trong yêu cầu.
■ Các cổng khác nhau: Mặc định, giao thức HTTP sử dụng cổng
thông dụng là 80 cho thông tin TCP/IP của nó. Khi kết nối vào một
Web site, trình duyệt sẽ mặc định sử dụng cổng 80 trừ phi bạn chỉ
định khác đi, bằng cách sử dụng một địa chỉ URL như
http://www.ACNA.com:81. Bằng cách gán các cổng khác nhau cho
các Web site, một máy chủ có thể hướng các yêu cầu tới site thích
hợp dựa trên số cổng được chỉ rõ trong yêu cầu.
■ Host headers: Mặc dù các máy trạm thông thường sử dụng tên để
truy nhập vào các Web site nhưng quá trình truyền thông TCP/IP
vẫn dựa trên các địa chỉ IP. Các máy chủ DNS chịu trách nhiệm
chuyển đổi các tên này sang các địa chỉ IP. Host Header là một
trường tùy chọn trong bản tin yêu cầu HTTP bao hàm tên URL của
máy chủ Web. Các yêu cầu với các giá trị host header khác nhau
có thể được hướng tới một máy chủ Web đơn với một địa chỉ IP và
một cổng duy nhất. Sau đó, máy chủ có thể hướng các yêu cầu tới
site thích hợp dựa vào giá trị host header. Ví dụ, một công ty có thể
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
429
CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE
Hình 9-22: Thẻ Home Directory trong hộp thoại Properties của một
Web site
IIS cho phép bạn xác định một thư mục gốc bằng cách chọn một trong ba
tùy chọn sau :
■ A Directory Located On This Computer (thư mục trên máy tính
này) sử dụng ký hiệu chữ cái ổ đĩa chuẩn để xác định thư mục gốc
trên một trong các ổ đĩa logic của máy tính.
■ A Share Located On Another Computer (thư mục chia sẻ trên
máy tính khác) sử dụng đường dẫn Universal Naming Convention
(UNC) để xác định thư mục gốc nằm trên một vùng chia sẻ ở đâu
đó trên mạng.
■ A Redirection To A URL (chuyển hướng tới URL) sử dụng đường
dẫn URL để xác định thư mục gốc trên một máy chủ Web khác.
Web site mặc định sử dụng một thư mục gốc cục bộ được tạo ra mặc định
trong quá trình cài đặt IIS đặt tại thư mục C:\Inetpub\wwwoot. Ban đầu thư
mục này không chứa một nội dung thực sự nào ngoại trừ các file để thể hiện
trang Under Construction nhưng bằng việc đưa các file nội dung vào thư
mục này, bạn có thể biến chúng sử dụng được ngay lập tức đối với các máy
trạm.
Ngoài việc cho phép bạn xác định vị trí thực sự của thư mục gốc, thẻ này
còn cho phép bạn cấu hình các kiểu truy nhập mà máy trạm có thể sử dụng
để truy nhập tới thư mục này. Bạn có thể chọn các tùy chọn dưới đây sau khi
xác định thư mục gốc trên ổ đĩa cục bộ hay trên điểm chia sẻ trên mạng:
■ Script Source Access: cho phép các máy trạm có thể truy nhập các
file kịch bản (script) trong thư mục với giả thiết rằng các Cấp phép
Read hay Write đã được thiết lập.
■ Read: cho phép các máy trạm có thể đọc và tải về các file trong thư
mục .
■ Write: cho phép các máy trạm tải lên thư mục các file hoặc thay
đổi nội dung của các file cho phép ghi.
■ Directory Browsing: giả thiết rằng không có tài liệu mặc định
(Default Documents), cho phép người dùng xem một danh sách
các liên kết siêu văn bản liệt kê các file và các folder có trong thư
mục .
■ Log Visits: giả thiết rằng tính năng ghi nhật ký đã được kích hoạt
cho site này, cho phép ghi lại các cuộc truy nhập vào thư mục vào
nhật ký
■ Index This Resource: tạo một chỉ mục của các nội dung văn bản
(full-text index) của thư mục trong dịch vụ Microsoft Indexing
(bạn phải cài đặt dịch vụ Indexing bằng cách nhấn Add/Remove
Windows Components trong công cụ Add or Remove Programs).
■ Application Settings: cho phép bạn xác định các kiểu ứng dụng
Web mà máy trạm được phép chạy.
Hình 9-23: Thẻ Documents trong hộp thoại Properties của một Web site
Hộp Enable Document Footer cho phép bạn cung cấp tên của file footer
được gắn vào tất cả các tài liệu được Website xuất bản.
Nó cho phép bạn ngăn chặn tình trạng một Web site độc chiếm toàn bộ băng
thông hệ thống.
Hình 9-24: Thẻ Perfomance trong hộp thoại Properties của Web site
■ Virtual Directory Access Permissions (các Cấp phép truy cập đến
thư mục ảo): xác định Cấp phép cấp cho các máy trạm khi truy cập
đến thư mục ảo (như Read (đọc), Run Scripts (chạy các kịch bản),
Excute (thực thi), Write (ghi) và Browse (duyệt trang Web)).
Một khi bạn đã tạo thư mục ảo, các file trong thư mục nội dung mà bạn
muốn công bố trên Web site sẽ nằm trong một thư mục con được xác định
theo bí danh bạn cung cấp ở trên.
Hình 9-25: Thẻ Directory Security trong hộp thoại Properties của Web
site
CHÚ Ý IIS và các Cấp phép NTFS Ngoài các cơ chế bảo mật ở
trên bạn cũng có thể sử dụng các Cấp phép NTFS để bảo vệ các
Web site. Như đã đề cập trong chương trước, các Cấp phép NTFS
cung cấp cho các người dùng bất kể họ truy cập bằng phương pháp
nào. Điều đó có nghĩa rằng một người dùng truy cập tới một Web
site với nội dung được lưu trên ổ đĩa NTFS phải có các Cấp phép
tương ứng để truy cập các file nội dung. Xem phần “Sử dụng các
Cấp phép NTFS” trong chương trước để biết thêm thông tin.
TỔNG KẾT
■ Windows Server 2003 chứa một số các hệ thống Cấp phép độc lập
bao gồm: các Cấp phép chia sẻ, các Cấp phép NTFS, các Cấp phép
Active Directory và các Cấp phép trên registry. Mỗi một hệ thống
Cấp phép cho phép bạn kiểm soát việc truy cập tới một loại tài
nguyên hệ thống xác định.
■ Mỗi đối tượng được bảo vệ thông qua các Cấp phép đều có một
ACL (Danh sách Kiểm soát Truy cập). Mỗi ACL là một danh sách
các ACE (Mục vào Kiểm soát Truy cập) chứa một đối tượng bảo
mật (như người dùng, nhóm hoặc máy tính chẳng hạn) và các Cấp
phép được gán cho đối tượng đó.
■ Hệ thống file chia sẻ cho phép các người dùng trên mạng truy cập
tới các file và các thư mục nằm trên các máy tính khác. Để tạo ra
các chia sẻ, bạn có thể sử dụng Windows Explorer hoặc snap-in
Shared Folders hoặc công cụ Net.exe ở chế độ dòng lệnh.
■ Các Cấp phép chia sẻ cung cấp mức bảo vệ cơ bản cho các thư mục
chia sẻ, nhưng chúng không có tính đa dạng và mềm dẻo như các
Cấp phép NTFS. Các Cấp phép chia sẻ chỉ áp dụng cho các truy
cập mạng thông qua dịch vụ Server. Các file được bảo vệ bằng các
Cấp phép chia sẻ vẫn có thể truy cập được từ máy tính cục bộ hoặc
thông qua các dịch vụ mạng khác như IIS hay dịch vụ đầu cuối
(Terminal) chẳng hạn.
■ Các Cấp phép NTFS có thể cho phép hoặc ngăn cấm, gán Cấp phép
một cách riêng rẽ hoặc được kế thừa từ trên. Cấp phép ngăn cấm sẽ
loại bỏ tất cả các Cấp phép cho phép khác và các Cấp phép gán
riêng rẽ sẽ có mức ưu tiên cao hơn so với các Cấp phép kế thừa.
Kết quả là một Cấp phép cho phép gán riêng rẽ sẽ loại bỏ Cấp phép
ngăn cấm kế thừa. Các Cấp phép Hiệu dụng trên một file hoặc thư
mục là sự tổng hợp của tất cả các Cấp phép gán cho đối tượng xác
định bao gồm cả Cấp phép gán trực tiếp hoặc thông qua cơ chế kế
thừa.
■ Các Cấp phép truy cập NTFS có thể bị hạn chế hơn nữa nhờ các
Cấp phép khác và các nhân tố khác như các Cấp phép IIS trên một
Web site. Bất kể hai kiểu Cấp phép nào được gán cho một tài
nguyên, như các Cấp phép chia sẻ và Cấp phép NTFS chẳng hạn,
mỗi kiểu cung cấp một tập hợp các Cấp phép khác nhau và bạn phải
tính toán xem kiểu nào hạn chế hơn.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
439
CHIA SẺ CÁC TÀI NGUYÊN HỆ THỐNG FILE
■ Tính kế thừa cho phép người quản trị điều khiển việc truy cập các
file và thư mục bằng cách cấp Cấp phép cho một thư mục cha và
cho phép các Cấp phép này được đưa xuống tất cả các thư mục con
và các file nằm bên trong nó.
■ Mỗi file và thư mục NTFS đều có một chủ sở hữu. Chủ sở hữu luôn
luôn được phép thay đổi các ACL (Danh sách Kiểm soát Truy cập)
trên một file hoặc thư mục thậm chí đối tượng này không có Cấp
phép.
■ Bất kỳ người sử dụng có Cấp phép Take Ownership (chiếm đoạt
quyền sở hữu) hoặc quyền hạn người sử dụng Take Ownership Of
Files Or Other Objects (quyền hạn chiếm đoạt quyền sở hữu các
file hoặc các đối tượng khác) đều có thể đoạt lại quyền sở hữu một
đối tượng. Một người sử dụng với quyền hạn người sử dụng
Restore Files And Directories đều có thể gán quyền sở hữu của bất
kỳ đối tượng nào cho bất kỳ người sử dụng nào.
■ IIS là một dịch vụ trên hệ điều hành Windows Server 2003 cho
phép chia sẻ các file và thư mục bằng cách sử dụng dịch vụ máy
chủ Web và FTP. Bạn có thể bảo mật các IIS site bằng cách gán các
Cấp phép NTFS và yêu cầu xác thực người sử dụng thông qua việc
hạn chế truy cập đối với các địa chỉ và tên Miền xác định hoặc bằng
cách sử dụng các giao thức truyền thông mã hóa và các chứng chỉ
số.
Bài tập thực hành thực hành 9-1: Tạo một chia sẻ bằng cách sử
dụng Windows Explorer
Trong bài thực hành này, bạn sẽ thực hiện việc chia sẻ một thư mục bằng
cách sử dụng Windows Explorer
• Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
• Nhấp Start và chọn Windows Explorer. Màn hình Windows Explorer
xuất hiện.
• Mở rộng biểu tượng My Computer và ổ đĩa C:
• Kích chuột phải vào thư mục Documents And Settings, từ thực đơn
ngữ cảnh chọn Sharing And Security. Hộp thoại Documents And
Settings Properties xuất hiện với thẻ Sharing được kích hoạt.
• Nhấp vào Share This Folder. Trong hộp văn bản Share Name gõ
Test Share. Nhấp OK. Biểu tượng của thư mục Documents And
Settings bị thay đổi và xác nhận rằng nó đã được chia sẻ.
===============================================
Bài tập thực hành thực hành 9-2: Sử dụng snap-in Shared
Folders
Trong bài thực hành này, bạn sẽ sử dụng snap-in Shared Folders để tạo một
chia sẻ mới và cấu hình các Cấp phép cho nó.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
• Nhấp Start -> Administrative Tools -> Computer Management. Màn
hình quản trị Computer Management xuất hiện.
• Mở rộng biểu tượng Shared Folders và lựa chọn thư mục con Shares.
• Trên thực đơn Action lựa chọn New Share. Trình hướng dẫn Share A
Folder xuất hiện.
• Nhấp Next để bỏ qua trong giới thiệu. Trang Folder Path xuất hiện.
• Trong hộp văn bản Folder Path, gõ C:\Windows và nhấp Next.
Trang Name, Description, And Setttings xuất hiện.
• Trong hộp văn bản Share Name, gõ Test Share 2 và nhấp Next.
Trang Permissions xuất hiện.
• Lựa chọn Administrators Have Full Access; Other Users Have
Read-Only Access (các thành viên nhóm quản trị có toàn quyền còn
các người dùng khác chỉ có Cấp phép đọc mà thôi) rồi nhấp Finish.
Trang Sharing Was Successful xuất hiện.
• Nhấp Close.
===============================================
Bài tập thực hành thực hành 9-3: Cấu hình các Cấp phép
NTFS
Trong bài thực hành này, bạn sẽ cấu hình các Cấp phép NTFS cho một thư
mục trên máy tính của bạn bằng Windows Explorer.
2. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
• Nhấp Start và chọn Windows Explorer. Màn hình Windows Explorer
xuất hiện.
• Mở rộng biểu tượng My Computer và ổ đĩa C:
• Kích chuột phải vào thư mục Documents And Settings, từ thực đơn
ngữ cảnh chọn Sharing And Security. Hộp thoại Documents And
Settings Properties xuất hiện với thẻ Sharing được kích hoạt.
• Lựa chọn thẻ Security và nhấp Add. Hộp thoại Select Users,
Computers, Or Groups xuất hiện.
• Trong hộp văn bản Enter The Object Names To Select, gõ Guests rồi
nhấp OK. Nhóm này sẽ được thêm vào hộp danh sách Group Or User
Name trong thẻ Security.
• Lựa chọn đối tượng Guests và trong hộp danh sách Permissions For
Guests lựa chọn các hộp kiểm tra Modify và Write trong cột Allow.
• Nhấp OK để gán các Cấp phép và đóng hộp thoại Documents And
Settings Properties lại.
4. Các Cấp phép NTFS yêu cầu tối thiểu để cho phép người sử dụng mở
các tài liệu và chạy các chương trình trên một thư mục chia sẻ là gì?
e. Full Control
f. Modify
g. Write
h. Read & Excute
i. List Folder Contents
5. Bill phàn nàn rằng anh ta không thể truy cập tới tài liệu có chứa thông
về thông tin tài chính của phòng. Bạn mở thẻ Security của tài liệu đó
và thấy rằng tất cả các Cấp phép trên đó đều được thừa hưởng từ thư
mục cha. Cấp phép ngăn cấm Read được gán cho nhóm Acctg3 mà
Bill là thành viên. Trong các phương pháp dưới đây, cái nào cho phép
Bill truy cập tới tài liệu này? (lựa chọn tất cả các câu trả lời đúng)
a. Thay đổi các Cấp phép trên thư mục cha bằng cách thêm Cấp
phép cho phép Full Control cho Bill
b. Thay đổi các Cấp phép trên thư mục cha bằng cách thêm Cấp
phép cho phép Read cho Bill.
c. Thay đổi các Cấp phép trên tài liệu bằng cách gán thêm Cấp
phép cho phép Read cho Bill.
d. Thay đổi các Cấp phép trên tài liệu bằng cách loại bỏ Allow
Inheritable Permissions, lựa chọn Copy và loại bỏ Cấp phép
ngăn cấm.
e. Thay đổi các Cấp phép trên tài liệu bằng cách loại bỏ Allow
Inheritable Permissions, lựa chọn Copy và thêm Cấp phép cho
phép Full Control cho Bill.
f. Loại bỏ Bill ra khỏi nhóm được gán Cấp phép ngăn cấm.
6. Bạn muốn đảm bảo mức độ bảo mật cao nhất cho máy chủ IIS trong
tổ chức của bạn mà không phải thêm bất kỳ dịch vụ chứng chỉ nào.
Mục tiêu là cung cấp quá trình xác thực trong suốt đối với người sử
dụng và cho phép bạn bảo mật các tài nguyên Intranet với các tài
khoản nhóm hiện có trên Active Directory. Tất cả người sử dụng đều
được bảo vệ bởi tường lửa của tổ chức. Các phương pháp xác thực
nào dưới đây chop phép thực hiện mục tiêu trên?
a. Truy cập nặc danh
b. Xác thực cơ bản
c. Xác thực dựa trên .NET Passport
d. Xác thực tích hợp với Windows
7. Bạn đang cấu hình các Cấp phép chia sẻ cho một thư mục chia sẻ trên
một máy chủ file. Bạn muốn tất cả người sử dụng đã được xác thực
đều có Cấp phép lưu các file lên thư mục, đọc tất cả các file trong đó
và thay đổi hoặc xóa các file do họ làm chủ. Các Cấp phép tối thiểu
bạn cần đặt trên thư mục chia sẻ để đạt được mục tiêu trên là gì? (lựa
chọn tất cả các câu trả lời đúng)
a. Authenticated Users (nhóm người dùng được xác thực): Full
Control (toàn quyền)
b. Authenticated Users: Read (đọc)
c. Creator Owner (chủ sở hữu tạo file): Change
d. Creator Owner: Read
trên mạng, lưu các tác vụ này trong một hàng đợi và gửi từng cái một đến máy
in vật lý.
CHÚ Ý: Thuật ngữ in ấn Trong tài liệu trên các phiên bản trước của
Windows, máy in vật lý được xem như một thiết bị in ấn và máy in
logic được xem như một máy in. Nhằm tránh những sự hiểu lầm về
thuật ngữ này, Microsoft đã có những sự thay đổi trong Windows
Server 2003. Bây giờ chúng ta sử dụng thuật ngữ máy in (printer) và
máy in logic (logical printer).
pháp thông thường và không cần quan tâm đến các máy trạm khác (ngoại trừ
khi đợi các tác vụ in ấn của chúng hoàn thành).
■ Local Or Network Printer (máy in mạng hay cục bộ) Trong trang
này, bạn cần xác định bạn đang cài đặt một máy in cục bộ hay một
máy in mạng. Trong ngữ cảnh của trình hướng dẫn này, máy in cục
bộ được xem như một máy in vật lý được gắn trực tiếp vào một máy
tính hoặc được gắn vào mạng nhưng hiện nay chưa được chia sẻ bởi
máy chủ in ấn khác. Máy in mạng được xem như một máy in chia sẻ
bởi máy tính khác trên mạng. Vì vậy để cài đặt một máy chủ in ấn,
bạn luôn luôn lựa chọn Local Printer Attached To This Computer
(máy in cục bộ được gắn với máy tính này). Nếu máy in này hiện đã
được kết nối và sẵn sàng, bạn có thể lựa chọn hộp kiểm tra
Automatically Detect And Install My Plug And Play Printer (tự
động phát hiện và cài đặt máy in plug and play) để cài đặt máy in tự
động. Tuy nhiên, bạn cũng có thể cài đặt máy in logic mà không cần
có sự hiện diện của một máy in vật lý.
■ Select A Printer Port (lựa chọn cổng máy in) Trong trang này, bạn
sẽ xác định máy tính liên kết với máy in như thế nào. Nếu máy in
được kết nối tới cổng LPT (cổng song song) hoặc cổng COM (cổng
nối tiếp), bạn sẽ lựa chọn Use The Following Port (sử dụng cổng
dưới đây) từ danh sách thả xuống. Nếu máy in được kết nối bằng một
số phương tiện khác, bạn lựa chọn Create A New Port (tạo một cổng
mới) và lựa chọn một trong các kiểu cổng từ danh sách thả xuống. Ví
dụ, các máy in được gắn vào mạng thông thường yêu cầu một cổng
TCP/IP. Khi bạn lựa chọn Standard TCP/IP Port (cổng TCP/IP
chuẩn), trình hướng dẫn Add Standard TCP/IP Printer Port (thêm
cổng máy in TCP/IP chuẩn) xuất hiện. Ở đó bạn sẽ xác định địa chỉ
IP mà bạn gán cho máy in và nếu cần thiết bạn có thể gán loại giao
diện mạng dùng để kết nối máy in tới mạng.
■ Install Printer Software (cài đặt phần mềm máy in) Nếu tính năng
plug and play không phát hiện và cài đặt chính xác trình điều khiển cho
máy in, bạn có thể lựa chọn máy in của bạn từ một danh sách các trình
điều khiển máy in được phân loại theo nhà sản xuất và các model sẵn có
trên Windows Server 2003. Nếu máy in không xuất hiện trong danh
sách nói trên, bạn có thể nhấp Have Disk để cài đặt các trình điều khiển
máy in do nhà sản xuất thiết bị cung cấp.
■ Name Your Printer (tên máy in của bạn) Trong trang này, bạn cần xác
định tên cho máy in nhằm cung cấp cho các ứng dụng chạy trên máy
tính. Mặc định, trình hướng dẫn sẽ gán một tên dựa trên tên nhà sản
xuất và chủng loại kết hợp với trình điều khiển máy in được cài đặt
nhưng bạn có thể thay đổi tên này. Nhằm tương thích đầy đủ với các
ứng dụng, bạn nên hạn chế chiều dài tên máy in (tối đa 31 ký tự). Khi
các máy in khác được cài đặt, trang này còn cho phép bạn xác định máy
in nào là máy in mặc định trên máy tính này có nghĩa là các ứng dụng
sẽ tự động in trên máy in đó trừ phi bạn lựa chọn cái khác. Thiết lập này
chỉ áp dụng cho các ứng dụng chạy trên máy tính cục bộ mà thôi chứ
không áp dụng cho các máy trạm trên mạng.
■ Printer Sharing (chia sẻ máy in) Trong trang này, bạn cần xác định
bạn có muốn chia sẻ máy in này không để làm cho nó hoạt động như
một máy chủ in ấn. Để tạo một máy in chia sẻ, bạn lựa chọn Share
Name và xác định tên dùng để công bố trên mạng. Mặc định, trình
hướng dẫn sẽ gán một tên bao gồm 8 ký tự đầu tiên của tên bạn cung
cấp ở trang trước tuy nhiên bạn có thể sử dụng bất kỳ tên nào mà bạn
muốn. Nhằm mục đích tương thích, tốt nhất tên máy in không chứa
các ký tự trống.
CHÚ Ý Các máy in chia sẻ Trang Printer Sharing trong trình
hướng dẫn Add Printer chỉ cung cấp các chức năng chia sẻ máy in cơ
bản nhất. Để cấu hình các lựa chọn chia sẻ khác, bạn phải sử dụng
hộp thoại Properties cúa máy in được mô tả trong phần kế tiếp.
■ Location And Comment (vị trí và chú thích) Trang này chứa các
trường mà bạn có thể cung cấp thông tin về vị trí hay khả năng của
máy in. Thông tin này sẽ hiển thị khi người sử dụng duyệt mạng và
giúp cho họ xác định máy in chính xác.
■ Print Test Page (in trang kiểm tra) Trang này cho phép bạn thực
hiện một tác vụ in kiểm tra nhằm xác định xem máy tính kết nối với
máy in như thế nào.
Khi bạn hoàn thành trình hướng dẫn Add Printer, hệ thống sẽ cài đặt trình
điều khiển máy in tương ứng và tạo một biểu tượng máy in logic cho máy in
này trong cửa sổ Printers And Faxes. Bạn sẽ sử dụng biểu tượng này để truy
cập đến tất cả các công cụ cấu hình và duy trì máy in. Từ thời điểm này, các
ứng dụng trên máy tính cục bộ có thể sử dụng máy in và nếu bạn chia sẻ nó thì
các máy trạm trên mạng cũng có thể sử dụng nó.
Chia sẻ máy in
Bạn có thể chia sẻ một máy in bằng cách sử dụng trình hướng dẫn Add
Printer nhưng bạn có thể điều khiển chia sẻ này nhiều hơn nữa bằng cách sử
dụng thẻ Sharing trong hộp thoại Properties của máy in (xem hình vẽ 10-1).
Để truy cập tới thẻ này, lựa chọn một biểu tượng máy in trong cửa sổ Printers
And Faxes và chọn Sharing từ thực đơn File.
Hình 10-1: Thẻ Sharing trong hộp thoại Properties của một máy in
Để chia sẻ máy in (nếu nó chưa được chia sẻ) lựa chọn Share This Printer
(chia sẻ máy in này) và xác định tên chia sẻ trong hộp văn bản Share Name.
Bạn cũng có thể lựa chọn hộp kiểm tra List In The Directory (liệt kê trong
dịch vụ thư mục Active Directory ) để tạo một đối tượng máy in trong Active
Directory. Kết quả là một đối tượng máy in được tạo ra như một con trỏ cho
phép người sử dụng xác định một máy in bằng cách tìm kiếm trên dịch vụ dựa
theo tên hoặc các tính năng của nó. Một trong những ích lợi của các tham số
trong trường Location và các đặc tính tương tự đó là tăng cường khả năng tìm
kiếm một máy in dựa trên các đặc tính này.
Nhấp vào Additional Drivers để mở hộp thoại Additional Drivers, như hình
vẽ 10-2. Khi một máy trạm trên mạng truy cập đến một máy in chia sẻ, nó có
thể tự động tải về trình điều khiển máy in từ thư mục chia sẻ Print$ trên máy
chủ. Đây là tính năng mà Windows gọi là Point and Print (trỏ tới và in). Hộp
thoại này cho phép bạn cài đặt các trình điều khiển máy in cho các hệ điều
hành khác nhau mà máy trạm của bạn có thể sử dụng. Đây là ưu điểm nếu
máy in sử dụng các trình điều khiển không có trong Windows Server 2003.
Khi bạn lựa chọn các hệ điều hành khác trong hộp thoại này và nhấp OK, hệ
thống sẽ cài đặt các trình điều khiển yêu cầu và thông báo cho bạn đưa đĩa
chứa trình điều khiển của nhà sản xuất nếu cần thiết.
nhật. Nếu bạn nhận được một cập nhật của trình điều khiển, bạn phải
cài đặt nó bằng tay trên các máy trạm này cũng như trên máy chủ.
Hình vẽ 10-3: Trang Specify A Printer của trình hướng dẫn Add Printer
Các phương pháp được liệt kê ở dưới đây sẽ giúp bạn xác định một máy in:
■ Find A Printer In The Directory (tìm kiếm một máy in trong dịch
vụ thư mục) Nếu máy trạm gia nhập vào Miền Active Directory,
trang này sẽ hiển thị lựa chọn này. Với lựa chọn này, trình hướng dẫn
sẽ hiển thị hộp thoại Find Printers giúp bạn tìm kiếm các máy in
theo tên, vị trí hoặc các đặc tính khác mà bạn xác định khi tạo các đối
tượng máy in.
■ Browse For A Printer (duyệt máy in) Nếu máy trạm là thành viên
của một nhóm làm việc (workgroup), trang Printer sẽ hiển thị lựa
chọn này đầu tiên. Với lựa chọn này, trình hướng dẫn sẽ hiển thị
trang Browse For Printer cho phép bạn duyệt các máy tính xác định
trong các Miền hoặc các nhóm làm việc và lựa chọn các máy in chia
sẻ được cài đặt trên mỗi máy tính.
■ Connect To This Printer (kết nối tới máy in này) Chọn lựa chọn này
cho phép bạn xác định tên của một máy in chia sẻ trên mạng bằng
cách sử dụng đường dẫn UNC (Universal Naming Connvention –
quy ước đặt tên tổng hợp) như \\tênmáychủ\tênmáyinchiasẻ. Nhấp
Next mà không cần xác định tên tương tự như lựa chọn Browse For
A Printer thực hiện trong trang Browse For Printer.
■ Connnect To A Printer On The Internet Or On A Home Or
Office Network (Kết nối tới một máy in trên Internet hay mạng ở
nhà hoặc mạng văn phòng) Lựa chọn này cho phép bạn xác định tên
của một máy in ở trên mạng hoặc trên Internet bằng cách sử dụng
một URL (Uniform Resouce Locator – quy ước đặt tên chuẩn hướng
tới một trạm Internet hoặc mạng nội bộ) như
http://www.adatum.com/printers/printername.
Một khi bạn đã xác định chính xác máy in cần cài đặt, trình hướng dẫn sẽ cài
đặt trình điều khiển tương ứng (giả thiết rằng trình điều khiển này đã sẵn có
trên máy chủ hoặc máy trạm) và tạo ra một máy in logic trong cửa sổ Printers
And Faxes.
sẻ được hiển thị trong một khoang chứa có tên là Printers And Faxes (xem
hình vẽ 10-4). Lựa chọn một máy in chia sẻ, từ thực đơn File chọn Connect
để bắt đầu tiến trình cài đặt trình điều khiển máy in logic.
Hình 10-6: Thẻ General trong hộp thoại Properties của máy in
Thẻ General cho phép bạn cấu hình tên máy in, vị trí và các lời chú thích. Tất
cả các thông số này đều được cấu hình dựa trên các giá trị bạn đưa vào trong
trình hướng dẫn Add Printer. Như đã đề cập ở trên, thẻ Sharing cho phép bạn
xác định máy in logic đã được chia sẻ chưa và cho phép các máy trạm trên
mạng truy cập chưa. Một số chức năng khác, bạn có thể điều khiển trong hộp
thoại Properties, sẽ được đề cập trong các phần dưới đây.
Hình 10-7: Thẻ Security trên hộp thoại Properties của một máy in
Các Cấp phép chuẩn mà bạn có thể gán cho một máy in gồm có:
■ Print (in ấn) cho phép các đối tượng bảo mật kết nối tới máy in và
thực hiện các tác vụ in ấn trên đó. Mặc định nhóm Everyone được
gán Cấp phép này. Để hạn chế việc truy cập tới máy in bạn có thể
loại bỏ Cấp phép này khỏi nhóm Everyone và gán nó cho các đối
tượng bảo mật khác hoặc bạn có thể ngăn cấm đối với các đối tượng
cụ thể.
■ Manage Printers (quản trị máy in) cho phép các đối tượng bảo mật
thực hiện tất cả các công việc mà Cấp phép Print cung cấp đối tượng
bảo mật đồng thời cung cấp Cấp phép điều khiển quản trị máy in.
Đối tượng nhận Cấp phép này có thể thay đổi các đặc tính máy in,
dừng và khởi động lại máy in, điều khiển trạng thái chia sẻ máy in,
điều chỉnh các thiết lập bộ đệm (một chương trình tiện ích của hệ
điều hành cho phép lưu trữ tạm thời các lệnh in vào một file trên đĩa
hoặc RAM khi máy đang bận sau đó sẽ gửi tới máy in khi CPU rảnh)
và thay đổi các Cấp phép máy in. Mặc định trên một máy tính không
phải là Máy chủ Điều khiển Miền nhóm Administrators và Power
Users được gán Cấp phép này còn trên máy Máy chủ Điều khiển
Miền các nhóm Server Operators và Print Operators sẽ có Cấp phép
này.
■ Manage Documents (quản trị tài liệu) cho phép các đối tượng bảo
mật điều khiển các tài liệu trong hàng đợi như: dừng, phục hồi, khởi
tạo lại, loại bỏ hoặc sắp xếp lại thứ tự. Tuy nhiên Cấp phép này
không cung cấp khả năng gửi tài liệu tới máy in hoặc điều khiển
trạng thái máy in. Mặc định, nhóm Creater Owner được gán Cấp
phép này. Cấp phép gán cho nhóm Creator Owner được kế thừa từ
người tạo ra đối tượng đó nên Cấp phép này cho phép người sử dụng
quản lý các tác vụ in ấn mà họ tạo ra. Cấp phép này cũng được gán
cho các nhóm Administartors, Print Operators và Server Operators
nên thành viên của các nhóm này có thể điều khiển bất cứ tài liệu nào
trên hàng đợi. Trên các máy không phải Máy chủ Điều khiển Miền,
nhóm Power Users được gán Cấp phép này.
Ngoài việc cung cấp các Cấp phép chuẩn, thẻ Security còn cho phép truy cập
đến hộp thoại Advanced Security Settings (xem hình vẽ 10-8). Ở đó bạn có
thể sử dụng để quản trị các chỉ mục ACL riêng lẻ và làm việc trên các Cấp
phép đặc biệt giống như bạn đang làm việc với các Cấp phép NTFS. Tuy
nhiên không giống như NTFS các Cấp phép đặc biệt cho máy in chỉ có thêm
ba tính năng cho phép các đối tượng bảo mật đọc các Cấp phép, thay đổi các
Cấp phép và đoạt quyền sở hữu một máy in.
phần Form To Tray Assignment phụ thuộc vào loại máy in mà bạn cài đặt và
số lượng khay nó hỗ trợ. Với mỗi khay liệt kê, bạn có thể lựa chọn một định
dạng khác nhau. Ngoài ra, khi mở rộng cây Device Settings bạn sẽ thấy các
thiết lập cho phép xác định trạng thái cài đặt của các lựa chọn máy in như các
khay giấy thêm vào, các thành phần điều khiển giấy in, phông chữ và bộ nhớ
máy in. Tất cả các thiết lập này đều được dành cho máy in và phụ thuộc vào
khả năng của nó cũng như trình điều khiển.
Hình 10-9: Thẻ Device Settings trên hộp thoại Properties của máy in
Hình 10-11: Thẻ Ports trên hộp thoại Properties của máy in biểu diễn
một tổ hợp với ba máy in vật lý
CHÚ Ý Những yêu cầu về phần cứng Do một tổ hợp máy in gồm có
nhiều máy in vật lý được điều khiển bởi một máy in logic duy nhất nên
chỉ có một trình điều khiển được cài đặt. Trong khi đó các máy in vật
lý không giống nhau hoàn toàn và chúng phải tương thích với trình
điều khiển được cài đặt trên máy in logic.
Để cấu hình các đặc tính khác nhau cho các máy in logic, bạn lựa chọn thẻ
Advanced trên hộp thoại Properties (hình vẽ 10-12) và xác định một giá trị
trong trường Priority (độ ưu tiên) nằm trong dải từ 1 (độ ưu tiên thấp nhất)
đến 99 (độ ưu tiên cao nhất). Nếu bạn gán giá trị 99 cho máy in logic của các
cán bộ điều hành và 1 cho máy in logic của những người sử dụng khác, thì các
tài liệu gửi tới máy in logic với độ ưu tiên 99 sẽ được thực hiện trước các tài
liệu khác trong hàng đợi. Tuy nhiên như thế không có nghĩa là tài liệu của cán
bộ điều hành sẽ loại bỏ tác vụ in ấn của người sử dụng khác mà ở đây muốn
đề cập khi máy in rỗi, nó sẽ chấp nhận các tác vụ từ máy in logic có độ ưu tiên
cao hơn trước khi chấp nhận các tác vụ từ máy in logic có độ ưu tiên thấp hơn.
Để ngăn không cho người sử dụng thực hiện in ấn trên máy in logic của cán
bộ điều hành, bạn có thể cấu hình ACL của nó và loại bỏ Cấp phép in được
gán cho nhóm Everyone, thay vào đó chỉ cấp cho các cán bộ điều hành Cấp
phép in.
Hình 10-12: Thẻ Advanced trên hộp thoại Properties của máy in
Trong hầu hết các trường hợp, việc định hướng lại tác vụ in ấn rất hữu ích khi
bạn sử dụng các máy in mạng được truy cập thông qua các cổng TCP/IP. Khi
một máy in bị trục trặc, bạn có thể thay đổi cổng trong máy in logic của nó tới
địa chỉ IP của máy in vật lý khác trên mạng. Máy in vật lý này phục vụ hai
máy in logic cho đến khi bạn xác định được lỗi trên máy in và thay đổi thiết
lập cổng trở lại giá trị cũ.
Hình 10-14: Lựa chọn các biến đếm hiệu năng để giám sát các hoạt động
trên máy in với màn hình quản trị Performance
■ Bytes Printed/Sec (số lượng byte được in trong 1s) xác định số
lượng dữ liệu thô tính theo byte gửi tới máy in trong 1s. Giá trị của
biến đếm này càng thấp đồng nghĩa với việc máy in này hoạt động
không đúng mức hoặc do máy in không có tác vụ in, do hàng đợi
chưa được tải hoặc do máy chủ quá bận. Giá trị này thay đổi tùy theo
chủng loại máy in. Tham khảo tài liệu máy in để biết được giá trị mà
máy in có thể chấp nhận được.
■ Job Erros (các lỗi tác vụ in) xác định số lượng các lỗi tác vụ in ấn
xảy ra khi bộ đệm khởi tạo lần cuối cùng. Các lỗi tác vụ in thông
thường gây ra bởi cấu hình cổng không chính xác; kiểm tra cấu hình
cổng về các thiết lập không hợp lệ. Một lỗi tác vụ in sẽ làm tăng giá
trị biến đếm này chỉ một lần duy nhất thậm chí lỗi đó có thể xảy ra
nhiều lần.
■ Jobs (các tác vụ) xác định số lượng các tác vụ trong hàng đợi. Một
giá trị của biến đếm này cao hoặc tăng cố định đồng nghĩa với việc
máy in hoạt động không bình thường hoặc các tác vụ không được
thực hiện một cách chính xác.
■ Not Ready Errors (các lỗi không sẵn sàng) xác định số lượng các
lỗi do máy in không sẵn sàng xảy ra kể từ khi bộ đệm được khởi tạo.
■ Out Of Paper Errors (các lỗi về tình trạng hết giấy) xác định số
lượng các lỗi xảy ra do tình trạng hết giấy xảy ra kể từ khi bộ đệm
được khởi tạo.
■ Total Jobs Printed (tổng số các tác vụ được in) xác định số lượng
các tác vụ được gửi tới máy in kể từ khi bộ đệm được khởi tạo.
■ Total Pages Printed (tổng só các trang được in) xác định số lượng
các trang tài liệu được in kể từ khi bộ đệm được khởi tạo. Biến đếm
này cung cấp một con số xấp xỉ gần đúng dung lượng của máy in
mặc dù nó không phải thật là chính xác do tùy thuộc vào loại tác vụ
và các đặc tính tài liệu của các tác vụ đó.
CHÚ Ý Sử dụng các biến đếm hiệu năng Một số biến đếm
hàng đợi máy in phù hợp với tiến trình ghi lại nhật ký hiệu năng như
chúng có thể lưu lại khối lượng hoạt động của máy in chẳng hạn.
Nhưng một số cái khác lại phù hợp với các cảnh báo như các biến
đếm lỗi chẳng hạn. Sử dụng các cảnh báo, bạn có thể cấu hình cho hệ
thống thông báo cho người quản trị mạng khi có lỗi xảy ra.
bộ đệm đăng ký các sự kiện liên quan tới việc tạo, xóa và thay đổi máy in.
File nhật ký cũng chứa các sự kiện về lưu lượng máy in, không gian đĩa cứng,
các lỗi bộ đệm và các vấn đề bảo dưỡng.
Để điều khiển hoặc thay đổi các sự kiện về bộ đệm được ghi lại, mở thư mục
Printers And Faxes và lựa chọn Server Properties từ thực đơn File. Lựa chọn
thẻ Advanced để truy cập các đặc tính như hình vẽ 10-15. Trong thẻ này, bạn
có thể điều khiển các sự kiện nào được ghi lại và các thông báo tác vụ in ấn.
Thẻ này cũng cho phép bạn thực hiện một công việc rất quan trọng đó là di
chuyển thư mục bộ đệm khi bạn cấu hình một máy chủ in ấn hoạt động hoặc
khi không gian đĩa cứng chứa thư mục bộ đệm trên một máy in sẵn có bị đầy.
Hình 10-15: Thẻ Advanced trên hộp thoại Print Server Properties
Kế tiếp bạn phải cho phép chính sách Audit Object Access (kiểm định việc
truy cập đối tượng) đặt trên màn hình quản trị Group Policy Object Editor
hoặc Local Security Policy trong Computer Configuration\Windows
Settings\Security Settings\Local Policies\Audit Policy. Sau khi chính sách đã
có hiệu lực, bạn có thể kiểm tra các file nhật ký trong phần Security để xem
và phân tích các chỉ mục.
LỜI KHUYÊN Khi nào thì thực hiện kiểm định vấn đề in ấn
Kiểm định máy in tạo ra hàng tá các mục vào đối với một tác vụ in, vì
vậy nó chỉ phù hợp khi bạn đang xử lý sự cố. Không nên sử dụng cơ
chế kiểm định nhằm giám sát mức độ sử dụng hoặc làm hóa đơn tính
tiền. Thay vào đó, bạn nên sử dụng các biến đếm như Total Jobs
Printed hoặc Total Pages Printed.
XỬ LÝ SỰ CỐ MÁY IN
Xử lý sự cố là một trong các công việc quan trọng trong quá trình quản trị
máy in. Phần này giúp bạn hiểu và xác định các lỗi có thể xảy ra trong quá
trình in ấn trên Windows Server 2003.
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290
yêu cầu các học viên có khả năng “xử lý sự cố hàng đợi”
Bạn cần lưu ý quá trình xử lý sự cố in ấn gồm nhiều thành phần gồm có:
■ Ứng dụng đang thực hiện in ấn
■ Máy in logic trên máy tính có ứng dụng đang chạy
■ Kết nối mạng giữa máy khách in ấn và máy in logic chia sẻ trên máy
chủ.
■ Máy in logic trên máy chủ: bộ đệm, các trình điều khiển, các thiết lập
bảo mật và các thành phần khác.
■ Kết nối giữa máy chủ in ấn và máy in.
■ Bản thân máy in vật lý: phần cứng, cấu hình và các trạng thái.
Một phương pháp hiệu quả để giải quyết hầu hết các lỗi trong in ấn là xử lý sự
cố theo từng phần riêng biệt một cách logic và có phương pháp.
không phải từ máy tính, mạng hay máy chủ in ấn hoặc phần cứng máy in. Tuy
nhiên, trong một số trường hợp sử dụng một trình điều khiển khác hoặc loại
dữ liệu khác có thể giải quyết được các lỗi in ấn của ứng dụng.
Nếu người sử dụng không thể in từ bất kỳ ứng dụng nào, bạn cần xác định
xem anh ta có thể in ra các máy in khác trên cùng máy chủ in ấn đó không hay
trên máy chủ in ấn khác. Nếu tất cả các khả năng này vẫn không thực hiện
được và nếu các người sử dụng khác vẫn có thể in trên các máy in trên mạng
thì lỗi dường như xẩy ra trên máy tính của họ.
Nếu máy in được kết nối mạng, cố gắng tạo ra một máy in cục bộ trên hệ
thống đang có lỗi trỏ trực tiếp tới cổng máy in này. Tức là bỏ qua vai trò quản
lý của máy chủ in ấn. Nếu việc in ấn thành công có nghĩa là lỗi ở trên máy chủ
hoặc kết nối giữa máy chủ và máy trạm có vấn đề.
Kiểm tra xem máy khách in ấn có thể kết nối tới máy chủ
Bạn có thể kiểm tra lại kết nối giữa máy in khách và máy chủ in ấn bằng cách
mở cửa sổ hàng đợi từ thư mục Printers And Faxes trên máy trạm. Nếu cửa
sổ này mở và hiển thị bất kỳ tài liệu nào trên hàng đợi có nghĩa là máy trạm
kết nối thành công tới máy chủ. Nếu có lỗi xảy ra có nghĩa rằng mạng có vấn
đề hoặc có lỗi về việc xác thực hay Cấp phép. Nếu trường hợp này xảy ra bạn
có thể sử dụng công cụ Ping để kiểm tra kết nối tới địa chỉ IP của máy chủ
hoặc nhấp Start, chọn Run và gõ \\<máy chủ in ấn>. Nếu ping thành công
hoặc một cửa sổ mở ra hiển thị thư mục Printers And Faxes và bất kỳ thư
mục chia sẻ nào tức là máy trạm đã kết nối tới máy chủ. Trong trường hợp
này, bạn nên kiểm tra các Cấp phép bảo mật trên máy in logic.
Xác nhận rằng bạn có thể truy cập tới máy in từ máy chủ
Một số máy in có thể hiển thị địa chỉ IP của chúng trên màn hình quản trị máy
in hoặc bạn có thể in ra một trang cấu hình. Xác nhận rằng địa chỉ IP của máy
in giống với địa chỉ IP của cổng máy in logic. Địa chỉ IP của cổng có thể kiểm
tra trên thẻ Port trong hộp thoại Properties của máy in. Đảm bảo rằng bạn có
thể kết nối với máy in qua mạng bằng cách ping địa chỉ IP của máy in.
Xác nhận rằng các dịch vụ trên máy chủ đang hoạt động
Sử dụng Bảng điều khiển Services để kiểm tra các dịch vụ dưới đây liên quan
đến in ấn đang hoạt động tốt:
■ Print Spooler Quản lý các hàng đợi in ấn cục bộ và trên mạng. Nếu
dịch vụ này không hoạt động thì việc in ấn không thể thực hiện được.
■ Remote Procedure Call (RPC) Một dịch vụ cần thiết cho các kết
nối mạng chuẩn tới các máy in chia sẻ.
Bạn cũng có thể kiểm tra dung lượng thư mục mà bộ đệm được lưu trữ trên đó
để đảm bảo rằng không gian đĩa cứng còn đủ cho việc lưu đệm. Vị trí của thư
mục bộ đệm có thể thay đổi được trong hộp thoại Server Properties (bạn có
thể truy cập vào hộp thoại này từ thực đơn File của thư mục Printers And
Faxes). Mặc định, bộ đệm của các tác vụ in ấn được lưu trữ tại thư mục
<Systemroot>\system32\spool\Printers. Với một máy chủ có mật độ in cao,
bạn nên cân nhắc di chuyển thư mục này tới một phân vùng khác chứ không
nên để trên phân vùng hệ thống hoặc khởi động. Nếu phân vùng chứa thư mục
bộ đệm đầy thì quá trình in ấn sẽ ngừng và nghiêm trọng hơn hệ điều hành có
thể ảnh hưởng.
Bạn cũng có thể tìm kiếm các file nhật ký trong phần System để xem bộ đệm
có đưa ra bất kỳ thông báo lỗi nào không và trong thư mục Printers And
Faxes đảm bảo rằng máy in của bạn không ở chế độ không kết nối.
Cố gắng thực hiện một tác vụ in ấn từ một ứng dụng trên máy chủ. Nếu bạn có
thể in từ máy chủ có nghĩa rằng lỗi không phải do máy in. Nếu bạn không thể
thực hiện được điều này, tạo một máy in logic trỏ trực tiếp tới cùng cổng và
cố gắng in trên máy in mới này. Nếu thực hiện thành công tức là có vấn đề với
cấu hình của máy in logic đầu tiên. Nếu thực hiện không thành công có nghĩa
là có vấn đề trong việc kết nối với máy in hoặc chính bản thân phần cứng máy
in.
TỔNG KẾT
■ Kiến trúc in ấn trong Windows Server 2003 được module hóa bao
gồm: máy in vật lý, máy chủ in ấn với máy in logic, chia sẻ kết nối
tới máy in vật lý thông qua một cổng cục bộ hoặc mạng và máy in
logic trên máy trạm kết nối tới máy in logic, chia sẻ trên máy chủ.
■ Máy in logic được tạo ra với mục đích hỗ trợ máy in được gắn trực
tiếp với máy tính hoặc mạng. Máy in mạng kết nối tới máy in logic
do máy tính khác duy trì, hay còn được gọi là máy chủ in ấn.
■ Mặc định, các máy in chia sẻ được công bố trong Active Directory,
cho phép người sử dụng dễ dàng tìm kiếm các máy in dựa trên vị trí
hoặc các đặc tính khác của máy in.
■ Để tạo một máy in logic, bạn sử dụng trình hướng dẫn Add Printer
và xác định trình điều khiển và cổng thích hợp.
■ Một máy in logic có thể hướng các tác vụ tới nhiều hơn một cổng
bằng cách tạo ra tổ hợp máy in (Printer pool).
■ Một máy in vật lý có thể phục vụ nhiều máy in logic khác nhau, mỗi
máy in có thể cấu hình với các thuộc tính, các trình điều khiển, các
thiết lập, các đặc tính theo dõi và các Cấp phép riêng biệt.
■ Cửa sổ hàng đợi in ấn, các nhật ký sự kiện và các biến đếm hiệu năng
cho phép bạn giám sát các máy in nhằm xử lý sự cố, phát hiện các lỗi
tiềm ẩn và mức độ sử dụng máy in.
■ Nếu một máy in ở trạng thái không kết nối hoặc bị lỗi, bạn có thể
định hướng lại tất cả các tác vụ in ấn chưa thực hiện của nó tới một
máy in khác bằng cách thêm hoặc lựa chọn cổng máy in mới trong
phần thiết lập đặc tính của máy in logic gốc. Máy in trên cổng thay
thế phải tương thích với trình điều khiển mà máy in gốc đang sử
dụng.
■ Do mô hình in ấn trong Windows Server 2003 được module hóa với
chính máy in đó, với máy in logic trên máy chủ và với máy in logic
trên máy trạm kết nối tới máy in chia sẻ trên máy chủ nên bạn có thể
xử lý sự cố khi máy in có lỗi bằng cách xác định mỗi thành phần có
thể gây nên lỗi đó và sự liên quan giữa các thành phần đó với nhau.
Bài tập thực hành thực hành 10-1: Tạo một máy in logic
Trong bài thực hành này, bạn sẽ cài đặt một máy in logic trên máy tính của
bạn.
• Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
• Nhấp Start và chọn Printers And Faxes. Cửa sổ Printers And Faxes
xuất hiện.
• Kích đúp vào biểu tượng Add Printer. Trình hướng dẫn Add Printer
xuất hiện.
• Nhấp Next để bỏ qua trang Welcome. Trang Local Or Network Printer
xuất hiện.
• Lựa chọn Local Printer Attached To This Computer. Đảm bảo rằng
hộp kiểm tra Automatically Detect And Install My Plug And Play
Printer đã bị xóa rồi nhấp Next. Trang Select A Printer Port xuất hiện.
• Trong danh sách liệt kê Use The Following Port lựa chọn cổng máy in
LTP3: rồi nhấp Next. Trang Install Printer Software xuất hiện. Trong
trường hợp máy tính của bạn không có cổng LTP3, hãy chọn một cổng
mà máy tính của bạn không sử dụng như COM3 và COM4 chẳng hạn.
• Trong cột Manufacturer lựa chọn Generic. Trong cột Printers lựa
chọn Generic/Text Only rồi nhấp Next. Trang Name Your Printer xuất
hiện.
• Trong hộp văn bản Printer Name, gõ Test Printer rồi nhấp Next.
Trang Printer Sharing xuất hiện.
• Nhấp Next để chấp nhận các tham số chia sẻ mặc định. Nhấp Next một
lần nữa để bỏ qua trang Location And Comment. Trang Print Test xuất
hiện.
• Lựa chọn No rồi nhấp Next. Trang Completing The Add Printer Trình
hướng dẫn xuất hiện.
• Nhấp Finish.
===============================================
Bài tập thực hành thực hành 10-2: Thiết lập các Cấp phép trên
máy in
Trong bài thực hành này, bạn sẽ cấu hình các Cấp phép trên máy in chia sẻ
của bạn.
3. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
4. Cài đặt một máy in logic như trong bài 10-1.
• Nhấp Start -> Printer And Faxes. Cửa sổ Printer And Faxes xuất hiện.
• Lựa chọn biểu tượng Test Printer trên máy in logic mà bạn vừa tạo và
từ thực đơn File lựa chọn Properties. Hộp thoại Properties xuất hiện.
• Lựa chọn đối tượng bảo mật Everyone trên thẻ Security rồi nhấp
Remove.
• Nhấp Add. Hộp thoại Select Users, Computers, Or Groups xuất hiện.
• Trong hộp văn bản Enter The Object Names To Select gõ Users rối
nhấp OK. Nhóm Users sẽ xuất hiện trong danh sách các đối tượng bảo
mật.
• Lựa chọn hộp kiểm tra Allow đối với Cấp phép Manage Documents và
nhấp OK.
===============================================
• Trên máy in logic bạn vừa tạo, kích chuột phải vào biểu tượng Test
Printer và lựa chọn Properties. Hộp thoại Properties của máy in xuất
hiện.
• Nhấp Print Test Page trong thẻ General để in một trang kiểm tra trên
máy in. Hộp thông báo Test Printer mở ra. Nhấp OK để đóng hộp
thông báo và nhấp OK để đóng hộp thoại Properties của máy in.
• Trên máy in logic bạn vừa tạo, nhấp đúp vào biểu tượng Test Printer.
Cửa sổ Test Printer xuất hiện.
• Lựa chọn tài liệu Test Page trong danh sách và chú ý trạng thái lỗi của
nó do không có một máy in vật lý nào kết nối với cổng bạn đã lựa chọn.
• Trên thực đơn Document lựa chọn Cancel. Một hộp thông báo Printers
xuất hiện nhắc nhở bạn xác nhận xóa tác vụ in.
• Nhấp Yes. Tác vụ sẽ bị xóa khỏi hàng đợi.
4. Bạn đang quản trị một máy tính Windows Server 2003 được cấu hình
như một máy chủ in ấn. Người sử dụng trong nhóm Marketing phàn
nàn rằng họ không thể in các tài liệu thông qua máy in trên máy chủ.
Bạn hiển thị các Cấp phép trên hộp thoại Properties của máy in. Nhóm
Marketing có Cấp phép Manage Documents. Tại sao người sử dụng
không in được trên máy in này?
a. Nhóm Everyone phải được gán Cấp phép Manage Documents.
b. Nhóm Administrators phải được gán Cấp phép Mange Printers
c. Nhóm Marketing phải được gán Cấp phép Print
d. Nhóm Marketing phải được gán Cấp phép Manage Printers
5. Bạn đang cài đặt một tổ hợp máy in trên máy tính Windows Server
2003. Tổ hợp máy in chứa ba thiết bị in ấn và tất cả đều giống nhau.
Bạn mở hộp thoại Properties trên máy in này và lựa chọn Enable Printer
Pooling trên thẻ Port. Bạn phải làm gì tiếp theo?
a. Cấu hình cổng LPT1 để hỗ trợ ba máy in
b. Lựa chọn hoặc tạo các cổng ánh xạ tới ba máy in
c. Trên thẻ Device Settings, cấu hình các lựa chọn có khả năng cài
đặt được nhằm hỗ trợ hai thiết bị in ấn thêm vào
d. Trên thẻ Advanced, cấu hình độ ưu tiên cho mỗi thiết bị in ấn
nhằm đảm bảo tiến trình in được phấn phối cho ba thiết bị in.
6. Bạn đang quản trị một máy tính Windows Server 2003 được cấu hình
như một máy chủ in ấn. Vào ngày giữa tuần làm việc, máy in bị lỗi và
cần được thay thế. Người sử dụng đã gửi các tác vụ in đến máy in này
và nó có địa chỉ IP là 192.168.1.81.Một máy in tương tự có địa chỉ
192.168.1.217 được máy chủ khác hỗ trợ. Các công việc bạn cần thực
hiện sao cho các tác vụ của người sử dụng vẫn được tiếp tục? (Lựa chọn
tất cả các câu trả lời đúng)
a. Trên hộp thoại Properties của máy in lỗi lựa chọn Enable
Printer Pooling.
b. Trên hộp thoại Properties của máy in lỗi nhấp Add Port
c. Trên thư mục Printer And Faxes kích chuột phải vào máy in lỗi
và lựa chọn Use Offline.
d. Trên hộp thoại Properties của máy in lỗi lựa chọn cổng
192.168.1.217.
7. Trong các mô hình dưới đây, mô hình nào cho bạn bức tranh gần đúng
nhất về mức độ sử dụng trên máy in, cho phép bạn hiểu về mức độ tiêu
thụ của mực và giấy in?
a. Cấu hình kiểm định máy in logic và kiểm định các sự kiện thành
công trong việc sử dụng Cấp phép in của nhóm hệ thống
Everyone.
b. Xuất các nhật ký sự kiện hệ thống (System log) ra file văn bản
phân cách các trường bằng dấu phảy (*.csv) và sử dụng Excel để
phân tích các sự kiện bộ đệm.
c. Cấu hình nhật ký hiệu năng và giám sát biến đếm Total Pages
Printed trên mỗi máy in logic.
d. Cấu hình nhật ký hiệu năng và giám sát biến đếm Jobs với mỗi
biến đếm logic.
Kịch bản 10-1: Cập nhật các trình điều khiển máy in
Phòng marketing phàn nàn với bạn về chất lượng in trên máy in chia sẻ có tên
gọi là MarketingPrinter. Khi người sử dụng in từ máy tính PC Windows XP
sử dụng các ứng dụng Microsoft Office, các tài liệu được in tốt. Nhưng khi họ
in từ các ứng dụng Adobe, các tài liệu in ra không được như mong muốn.
Phòng kinh doanh có một máy in chia sẻ tương tự có tên là SalesPrinter và sử
dụng hỗn hợp các máy trạm Windows 2000/XP và Office không thông báo bất
cứ một lỗi nào. Bạn cân nhắc trường hợp này, nó xảy ra vì một số ứng dụng
khác nhau tạo ra các kết quả khác nhau phụ thuộc vào máy in có đang sử dụng
PostScript hoặc một trình điều khiển không phải PostScript hay không. Bạn sẽ
triển khai trình điều khiển máy in hoạt động tốt ở đâu sao cho các máy tính
cần nó được cập nhật?
e. Hộp thoại Server Properties của máy chủ in ấn
f. Hộp thoại Properties của máy in MarketingPrinter
g. Hộp thoại Properties của máy in SalesPrinter
h. Hộp thoại Properties của các máy in logic được cài đặt trên các máy
tính của mỗi người sử dụng phòng marketing.
===============================================
c. Thiết lập các độ ưu tiên máy in khác nhau cho mỗi nhân viên trợ lý
dựa trên danh sách do người đứng đầu nhóm tạo ra. Nhân viên quan
trọng nhất sẽ có độ ưu tiên là 99 còn người có vai trò quan trọng
thấp nhất sẽ có độ ưu tiên là 1.
d. Mua thêm các máy in laser tương tự và cài đặt chúng như những
máy in chia sẻ riêng rẽ trên máy chủ.
PHẦN 4
QUẢN LÝ VÀ DUY TRÌ
PHẦN CỨNG
thiết bị sẽ chịu trách nhiệm việc thay đổi cấu hình phần cứng của
máy in.
Hai chức năng nói trên thực sự là hai khía cạnh của cùng một tiến trình
nhưng trong Windows Server 2003 chúng có thể được thực hiện bởi các
trình điều khiển khác nhau. Trong trường hợp này, một trình điều khiển mức
thấp chịu trách nhiệm liên kết thực sự với phần cứng còn một trình điều
khiển mức cao sẽ tương tác với các ứng dụng và các hàm của hệ điều hành.
Bạn không thể nhìn thấy khả năng này trong giao diện Windows tuy nhiên
bạn không phải tìm và cài đặt hai trình điều khiển riêng biệt nói trên.
CHÚ Ý Các trình điều khiển và hệ điều hành Thời điểm
trước khi hệ điều hành Windows xuất hiện, các trình điều khiển thiết
bị được thực thi bới các ứng dụng đơn lẻ. Khi bạn cài đặt một sản
phẩm phần mềm xử lý văn bản, bạn phải lựa chọn một trình điều
khiển cho dòng máy in của bạn. Kế đó nếu bạn cài đặt một ứng dụng
xử lý bảng tính (như Excel bây giờ chẳng hạn), bạn không thể sử
dụng cùng một trình điều khiển đó. Ứng dụng này yêu cầu một trình
điều khiển dành riêng cho nó. Windows đã khắc phục được những
nhược điểm nói trên bằng cách tích hợp chúng vào hệ điều hành chứ
không sử dụng riêng rẽ cho từng ứng dụng. Khi bạn cài đặt một
trình điều khiển cho một máy in trên bất kỳ phiên bản nào của
Windows, tất cả các ứng dụng chạy trên hệ điều hành đó đều có thể
sử dụng các hàm thủ tục của trình điều khiển.
Cuối cùng là hình ảnh của các thiết bị như card màn hình yêu cầu cần phải
có trình điều khiển được thiết kế để làm việc với các thiết bị phần cứng cụ
thể. Các thiết bị đặc chủng có thể gây ra các vấn đề cho các quản trị viên hệ
thống, bao gồm:
■ Chúng ít được hỗ trợ bởi hệ điều hành Hệ điều hành Windows 2003
(cũng giống như tất cả các hệ điều hành Windows) bao gồm một
thư viện các trình điều khiển, cung cấp khả năng tương thích với
môt danh sách dài các thiết bị phần cứng của mỗi loại. Các thiết bị
càng phổ dụng thì càng chắc chắc được hỗ trợ bởi trình điều khiển
hệ điều hành. Nhưng đối với các thiết bị các đặc biệt nhất là các
thiết bị vừa sản xuất hoặc ngoài luồng thì có thể không có trình
điều khiển hỗ trợ trong Windows hoặc không có phiên bản gần nhất
của trình điều khiển. Trong những trường hợp này, bạn phải cung
cấp cho hệ điều hành trình điều khiển bạn nhận được từ nhà sản
xuất thiết bị.
CHÚ Ý Microsoft và các trình điều khiển thiết bị Mặc dù Windows
Server 2003 và các hệ điều hành Windows khác chứa hàng trăm các
trình điều khiển thiết bị cho các sản phẩm phần cứng khác nhau và
một số ít trong này thực sự được tạo ra bởi Microsoft. Microsoft
nhận trình điều khiển từ nhà sản xuất thiết bị và tích hợp chúng
cùng với hệ điều hành Windows. Vì lý do này, khi bạn gặp vấn đề
với trình điều khiển, bạn cần sự giúp đỡ từ phía nhà sản xuất hơn là
từ phía Microsoft.
■ Không có trình điều khiển của nhà cung cấp phần cứng Trong
một vài trường hợp thì các nhà sản xuất phần cứng phát triển trình
điều khiển cho Windows 2003 cho các thiết bị của họ sau khi họ
phát hành phiên bản WindowsXP vì hệ điều hành này chủ yếu dùng
cho máy trạm hoặc do họ không xem Windows Server 2003 như là
một phần của thị trường sản phẩm.
■ Thiết bị không tương thích hoặc hoạt động không đúng Nhiều
thiết bị thường có hiện tượng hoạt động không đúng, điều này
thường xảy ra khi mà chúng được điều khiển để hoạt động ớ chế độ
cao hơn. Ví dụ, các trình điều khiển card màn hình có xu hướng bị
tình trạng này do các chức năng hoạt động phức tạp của chúng và
do nhiều ứng dụng đưa chúng đến trạng thái giới hạn. Các card màn
hình gần đây được thiết kế cho chức năng chơi trò chơi điện tử
thường gặp trục trặc hơn so với các card màn hình tích hợp trong hệ
thống mức thấp. Khi trình điều khiển bị lỗi, người quản trị hệ thống
phải liên lạc trực tiếp với nhà sản xuất thiết bị phần cứng để thay
thế chúng.
■ Chúng thường được cập nhật nhiều hơn so với các trình điều
khiển phổ dụng Đây là một kết quả tất yếu của tính chất phức tạp,
một số trình điều khiển thường được cập nhật nhiều hơn so với các
trình điều khiển khác. Một lần nữa, trình điều khiển card màn hình
lại là một ví dụ điển hình. Các trình điều khiển card màn hình gần
đây thường xuyên được nhà sản xuất cập nhật. Tùy thuộc vào thời
điểm thiết bị phần cứng được phát hành và bạn đang sử dụng phiên
bản nào của Windows, trình điều khiển đi kèm với hệ điều hành có
thể có một vài phiên bản cũ. Trong hầu hết các trường hợp, trình
điều khiển đi kèm cùng với Windows đủ để giúp bạn trong tiến
trình cài đặt nhưng bạn có thể phải cài đặt các trình điều khiển cập
nhật dành cho thiết bị nhằm đạt được hiệu năng đầy đủ nhất.
Tất cả các thiết bị phần cứng đã được chứng nhận sử dụng cho Windows
Server 2003 được liệt kê trong Windows Server Catalog, luôn sẵn sàng tại
địa chỉ www.microsoft.com/windows/catalog/server. Catalog này thay thế
cho danh sách liệt kê các thiết bị tương thích (HCL) được sử dụng trong các
phiên bản trước của Windows. Khi lựa chọn phần cứng cho các máy tính
Windows Server 2003, bạn cần phải đảm bảo rằng các thiết bị bạn lựa chọn
được liệt kê trong catalog.
thành phần này tới một thành phần khác (thông thường là từ một
thiết bị ngoại vi tới bộ vi xử lý) với ngụ ý thông báo cho bên nhận
rằng nó nên tạm dừng các hoạt động hiện thời để thực hiện một
công việc khác. Ví dụ, mỗi lần bạn ấn một phím trên bàn phím máy
tính, bàn phím sẽ gửi một yêu cầu ngắt tới bộ vi xử lý thông báo
rằng có dữ liệu đầu vào mới gửi tới bộ vi xử lý. Một PC có 16
chuỗi yêu cầu ngắt được thiết kế cho việc sử dụng các thiết bị phần
cứng khác nhau (một số có thể chia sẻ một chuỗi yêu cầu ngắt).
■ I/O Address (địa chỉ vào/ra) Một địa chỉ vào/ra (còn được gọi là
cổng vào/ra) là một vị trí trong bộ nhớ được phân bổ một thiết bị
phần cứng xác định cho phép nó trao đổi thông tin với hệ thống.
Mỗi thiết bị trong máy tính đều được gán một địa chỉ vào/ra duy
nhất, cho phép hệ thống liên kết với các thiết bị đơn lẻ.
■ Direct Memory Access (DMA) channel (kênh truy nhập bộ nhớ
trực tiếp) Các kênh DMA là các tuyến đường mà một số thiết bị sử
dụng chúng để truyền trực tiếp dữ liệu tới và từ bộ nhớ hệ thống mà
không cần liên quan tới bộ vi xử lý. Khi so sánh với các chuỗi yêu
cầu ngắt, thì có tương đối ít thiết bị (như các ổ đĩa mềm và các card
âm thanh chẳng hạn) sử dụng các kênh DMA do mỗi PC chỉ có 08
kênh DMA.
■ Memory address (địa chỉ bộ nhớ) Một vài thiết bị như card màn
hình hay card mạng chẳng hạn cần có không gian trong bộ nhớ cấp
trên với mục đích để cài đặt một BIOS (hệ thống vào/ra cơ bản) bổ
sung. Một thiết bị thường yêu cầu tài nguyên phần cứng này đó là
card giao tiếp SCSI với BIOS của chính thiết bị này cho phép hệ
thống khởi động từ một ổ đĩa SCSI.
Màn hình quản trị Device Manager trong Windows Server 2003 cho phép
bạn hiển thị các tài nguyên phần cứng trên máy tính và các thiết bị đang sử
dụng chúng như hình vẽ 11-1.
Hình 11-1: Các tài nguyên phần cứng của một thiết bị được hiển thị
trong Device Manager
■ Các thiết lập tài nguyên hạn chế Một số thiết bị chỉ có thể sử dụng
được một số tài nguyên phần cứng nhất định. Ví dụ, một số card
mạng cũ chỉ có thể sử dụng hai hoặc ba IRQ. Nếu các IRQ này đều
đã bị sử dụng thì bạn phải cấu hình lại các thiết bị khác hoặc sử
dụng một card khác.
■ Cạn kiệt tài nguyên Khi vấn đề chia sẻ IRQ không còn phổ biến,
các chuỗi IRQ ở các hệ thống được trang bị đầy đủ sẽ bị chiếm
dụng hết bởi các thiết bị khác dẫn đến tình trạng ngăn không cho
cài đặt các thành phần mới.
■ Xung đột thiết bị Khi hai thiết bị được cấu hình sử dụng cùng tài
nguyên hệ thống, thông thường một trong hai sẽ hoạt động không
chính xác. Khi lựa chọn các tài nguyên phần cứng cho một thiết bị
mới bạn phải biết được các tài nguyên đã được các thành phần khác
trên máy tính sử dụng.
■ Dò quét hệ thống để xác định các tài nguyên phần cứng còn trống
■ Lựa chọn các thiết lập tài nguyên tương ứng cho thiết bị
■ Cấu hình cả thiết bị lẫn trình điều khiển thiết bị sử dụng các tài
nguyên lựa chọn.
Nếu không có thiết lập tài nguyên nào còn trống cho thiết bị mới sử dụng,
PnP có khả năng cấu hình lại một cách tự động phần cứng khác trên máy
tính để giải phóng các tài nguyên cho thiết bị mới. Nếu Windows Server
2003 không có trình điều khiển, hệ điều hành sẽ nhắc nhở bạn cung cấp đĩa
có chứa trình điều khiển hoặc tìm kiếm trình điều khiển tương ứng.
Khi bạn cài đặt một thiết bị phần cứng mới không hỗ trợ chuẩn PnP,
Windows Server 2003 có thể hoặc không thể phát hiện ra nó. Tùy thuộc vào
loại thiết bị mà có những trường hợp sau xảy ra:
Hệ thống không thể phát hiện ra thiết bị mới Nếu máy tính vẫn
duy trì trạng thái không thông báo về thiết bị phần cứng mới, bạn
phải chạy Add Hardware Trình hướng dẫn từ Control Panel và xác
định, cài đặt, cấu hình thiết bị và trình điều khiển nó bằng tay.
■ Hệ thống phát hiện sự hiện diện của thiết bị mới nhưng không thể
xác định nó Đôi khi máy tính phát hiện ra sự hiện diện của thiết bị
phần cứng mới nhưng không thể xác định loại thiết bị là gì. Một lần
nữa bạn phải lựa chọn bằng tay loại thiết bị, nhà sản xuất và chủng
loại thông qua Add Hardware Trình hướng dẫn.
■ Hệ thống phát hiện thiết bị mới và xác định nó ở mức cơ bản nhưng
không thể xác định được chủng loại cụ thể Máy tính có thể xác định
được loại phần cứng cài đặt như card mạng chẳng hạn nhưng không
thể xác định nhà sản xuất và chủng loại của nó vì vậy bạn phải lựa
chọn chúng bằng tay trong Add Hardware Trình hướng dẫn.
■ Hệ thống phát hiện và xác định thiết bị mới, tiếp theo cài đặt và cấu
hình trình điều khiển thiết bị nhưng nó không thể cấu hình chính
bản thân phần cứng Nếu máy tính xác định thành công phần cứng
mới và cài đặt trình điều khiển thích hợp, hệ thống có thể cấu hình
trình điều khiển để sử dụng các thiết lập tài nguyên phần cứng hiện
tại của thiết bị. Tuy nhiên, nếu các thiết lập mặc định của thiết bị
xung đột với các thành phần khác của máy tính thì hệ thống không
thể cấu hình lại phần cứng để sử dụng các thiết lập khác. Trong
trường hợp này, bạn phải cấu hình bằng tay các thiết lập tài nguyên
cho thiết bị phần cứng.
kiểm tra một cách cẩn thận. Trong những trường hợp như vậy, trình điều
khiển cuối cùng có thể không phải là tốt nhất. Tự động cài đặt tất cả phiên
bản trình điều khiển mới có thể dẫn đến những lỗi hiệu năng nghiêm trọng
đặc biệt nếu bạn có các thiết bị giống nhau được cài đặt trên hàng trăm máy
tính.
Phương pháp tốt nhất dành cho người quản trị hệ thống đó là phân loại các
phiên bản cập nhật trình điều khiển, thực hiện việc kiểm tra chúng trên các
hệ thống tương tự, cũng giống như khi bạn sử dụng bất kỳ bản cập nhật phần
mềm nào, trước khi triển khai chúng trên các máy tính của bạn.
Người sử dụng, nhà quản trị và quá trình cài đặt trình điều
khiển thiết bị
Trong hầu hết các môi trường, phương án thích hợp nhất cho người sử dụng
đầu cuối là họ không phải cài đặt hoặc cập nhật các trình điều khiển thiết bị.
Điều này còn là đặc biệt đúng trong môi trường mạng khi mà các nhà quản
trị muốn duy trì một cấu hình hệ thống đồng nhất trên toàn mạng. Nó sẽ làm
đơn giản hóa tiến trình duy trì và xử lý sự cố cho các máy tính trên mạng do
các nhân viên hỗ trợ kỹ thuật không cần phải kiểm tra mỗi hệ thống để xác
định xem các cập nhật đã được cài đặt chưa.
Tuy nhiên, việc cấp nhật các trình điều khiển thiết bị thường là khó khăn
hơn khi triển khai trên một lượng lớn máy tính so với việc cập nhật các phần
mềm. Đôi khi bạn cần cài đặt trình điều khiển trên mỗi máy tính riêng lẻ và
các nhà quản trị không có thời giờ hoặc sự kiên nhẫn để di chuyển tới tất cả
các máy tính nhằm cấu hình các thiết bị và trình điều khiển của chúng.
Windows Server 2003 bao gồm các tùy chọn trình điều khiển được xác nhận
(driver signing), khả năng gán các quyền cài đặt trình điều khiển cho các
người sử dụng thích hợp, tạo ra một môi trường mềm dẻo trong việc cấu
hình thiết bị và cài đặt trình điều khiển.
định, người sử dụng chỉ có thể cài đặt các thiết bị PnP với điều kiện các yêu
cầu sau phải được đáp ứng:
■ Trình điều khiển phải có một chữ ký số hóa (đây là đặc tính chứng
tỏ rằng trình điều khiển này đã được hãng Microsoft tiến hành thử
nghiệm và kiểm tra)
■ Không có những đòi hỏi yêu cầu Windows hiển thị giao diện cho
phép cài đặt thiết bị.
■ Trình điều khiển thiết bị đã có sẵn trên máy tính.
Với những yêu cầu này có nghĩa người sử dụng có thể cài đặt các máy in và
các thiết bị USB và IEEE 1394 (FireWire). Nếu có bất kỳ một điều kiện nào
nói trên không đáp ứng, người sử dụng không thể cài đặt thiết bị nếu họ
không được gán thêm quyền.
Khi bạn truy cập hệ điều hành bằng tài khoản là thành viên của nhóm
Administartors, thẻ này còn có hộp kiểm tra Make This Action The System
Default (sử dụng lựa chọn này như thiết lập mặc định của hệ thống). Khi
lựa chọn hộp kiểm tra này có nghĩa là lựa chọn bạn chọn ở trên trở thành
thiết lập mặc định cho tất cả người sử dụng truy cập vào hệ thống.
Ngoài ra để cấu hình bằng tay các lựa chọn về trình điều khiển được xác
nhận cho các máy tính đơn lẻ, bạn có thể sử dụng các chính sách nhóm để
bắt buộc tất cả hoặc một phần các máy tính trên mạng. Trong bảng điều
khiển Group Policy Object Editor, trỏ tới thư mục User
Configuration/Administrative Templates/System. Ở đây bạn sẽ thấy một
chính sách có tên là Code Signing For Device Drivers. Khi bạn mở hộp
thoại Code Signing For Device Drivers Properties, như hình vẽ 11-3, bạn
có thể thấy các lựa chọn giống trong hộp thoại Driver Signing Options.
Hình 11-3: Hộp thoại Code Signing For Device Drivers Properties
Nếu hệ thống không phát hiện sự hiện diện của thiết bị phần cứng mới, bạn
có thể khởi tạo trình hướng dẫn bằng tay theo các cách sau:
■ Lựa chọn Add Hardware trong Control Panel.
■ Mở hộp thoại System Properties, lựa chọn thẻ Hardware và nhấp
vào Add Hardware Wizard.
Khi bạn nhấp Next để bỏ qua trang Welcome của trình hướng dẫn, hệ thống
sẽ thực hiện một tiến trình phát hiện phần cứng PnP. Nếu hệ thống không
phát hiện ra có bất kỳ phần cứng mới nào, trang Is The Hardware
Connected? xuất hiện như hình vẽ 11-4 nhắc nhở bạn xác định xem bạn có
cài đặt phần cứng mới không. Đây là một câu hỏi thủ thuật: nếu bạn lựa
chọn No, I Have Not Added The Hardware Yet (không, tôi không thêm
phần cứng nào cả) và nhấp Next thì trình hướng dẫn sẽ dừng lại, hướng dẫn
bạn cài đặt phần cứng và chạy lại trình hướng dẫn. Trong thực tế, bạn có thể
cài đặt một số loại phần cứng mà không cần sự hiện diện thực sự của chúng.
Ví dụ, bạn có thể cài đặt một máy in cục bộ và trình điều khiển trước khi kết
nối máy in vật lý đến máy tính.
Hình 11-5: Hộp danh sách Installed Hardware trên Add Hardware
Wizard
CHÚ Ý Xử lý sự cố thiết bị phần cứng Danh sách các thiết bị được
cài đặt cung cấp chức năng cơ bản khác của trình hướng dẫn đó là
khả năng xử lý sự cố với các thiết bị phần cứng sẵn có trên hệ thống.
Để biết thêm thông tin về quá trình xử lý sự cố trên phần cứng và
trình điều khiển thiết bị, xem phần “Xử lý sự cố các thiết bị và trình
điều khiển” ở phần sau của chương này.
Trong trang kế tiếp, xem hình vẽ 11-6, bạn cần xác định xem bạn muốn trình
hướng dẫn tìm kiếm phần cứng mới hoặc lựa chọn phần cứng từ một danh
sách. Điều này dường như hơi kỳ cục do trình hướng dẫn đã thực sự chạy
thông qua một tiến trình phát hiện phần cứng ngay sau khi khởi tạo. Tuy
nhiên đó là đối với các thiết bị PnP. Với các thiết bị không phải PnP, bạn
cần lựa chọn Search For And Install The Hardware Automatically để khởi
tạo quá trình tìm kiếm.
Hình 11-6: Lựa chọn phát hiện phần cứng Add Hardware Wizard
Nếu trình hướng dẫn không thể xác định được phần cứng mới của bạn hoặc
nếu bạn lựa chọn Install The Hardware That I Manually Select From A
List và nhấp Next, một trang xuất hiện cho phép bạn lựa chọn chủng loại
thiết bị từ danh sách bao gồm các phần cứng thông dụng như hình vẽ 11-7.
Lựa chọn loại thiết bị mà bạn muốn cài đặt và nhấp Next.
Hình 11-8: Một trong những danh sách lựa chọn phần cứng của Add
Hardware Wizard
Một khi bạn đã xác định chính xác thiết bị phần cứng cần cài đặt, trình
hướng dẫn sẽ hiển thị các điều khiển theo loại thiết bị ở đó bạn sẽ xác định
xem hệ thống truy câp tới phần cứng như thế nào. Ví dụ, nếu bạn cài đặt một
modem, trình hướng dẫn sẽ nhắc nhở bạn cổng COM mà modem sử dụng.
Trong một số trường hợp nếu trình hướng dẫn không thể xác định phần cứng
bạn lựa chọn, nó sẽ cài đặt trình điều khiển thiết bị bằng cách sử dụng các
thiết lập mặc định. Tiếp theo bạn có thể phải cấu hình lại trình điều khiển
bằng tay trước khi hệ thống có thể liên kết với thiết bị.
Khi trình hướng dẫn hoàn thành, thiết bị mới được đưa vào cấu hình phần
cứng của máy tính. Bạn có thể truy cập được tới nó hoặc không. Bạn có thể
làm việc với bất kỳ thiết bị phần cứng nào đã được cài đặt trên máy tính
cũng như trình điều khiển của chúng thông qua màn hình quản trị Device
Manager được mô tả trong phần tiếp theo.
bị theo từng loại. Đây là màn hình hiển thị mặc định của Device
Manager.
■ Sắp xếp các thiết bị theo kết nối Hiển thị một danh sách các kết nối
mà các thiết bị phần cứng sử dụng để liên kết với máy tính. Mở
rộng một kết nối sẽ hiển thị một danh sách các thiết bị sử dụng kết
nối đó. Ví dụ, kết nối PCI Bus chứa các biểu tượng cho tất cả các
card mở rộng và các thiết bị khác kết nối tới PCI Bus của hệ thống.
■ Sắp xếp các tài nguyên theo chủng loại Hiển thị một danh sách các
loại tài nguyên gồm có Direct Memory Access (truy cập bộ nhớ
trực tiếp), Input/Output (cổng vào/ra), Interrupt Request (yêu cầu
ngắt) và Memory (bộ nhớ). Ở đây bạn có thể mở rộng để hiển thị
một danh sách các tài nguyên riêng lẻ của mỗi loại và các thiết bị
đang sử dụng chúng.
■ Sắp xếp các tài nguyên theo kết nối Hiển thị một danh sách các loại
tài nguyên gồm có Direct Memory Access (truy cập bộ nhớ trực
tiếp), Input/Output (cổng vào/ra), Interrupt Request (yêu cầu
ngắt) và Memory (bộ nhớ). Ở đây bạn có thể mở rộng để hiển thị
kết nối được kết hợp với mỗi tài nguyên riêng lẻ và thiết bị sử dụng
mỗi kết nối đó.
Bất kể bạn sử dụng chế độ hiển thị nào của Device Manager, bạn cũng có
thể lựa chọn bất kỳ một trong các thiết bị của máy tính và làm việc với phần
cứng cũng như trình điều khiển thiết bị của nó như mô tả trong các phần
dưới đây.
CHÚ Ý Quản trị thiết bị từ xa Cũng giống như các snap-in MMC
khác, Device Manager có thể làm việc với hệ thống cục bộ hoặc với
hệ thống khác trên mạng.Tuy nhiên khi Device Maneger được kết
nối tới một máy tính khác trên mạng, nó chỉ hoạt động ở chế độ
read-only. Bạn có thể xem thông tin về thiết bị phần cứng trên máy
tính ở xa và trình điều khiển của nó nhưng bạn không thể thay đổi
chúng. Để có thể thay đổi, bạn phải chạy Device Manager từ màn
hình quản trị của máy tính ở xa hoặc sử dụng dịch vụ Remote
Desktop hoặc Terminal Services.
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290 yêu cầu
các học viên phải có khả năng “giám sát phần cứng máy chủ. Các
công cụ gồm có Device Manager, Hardware Troubleshooting
Wizard và các mục tương ứng trong Control Panel ”.
vẫn hiện diện trong Device Manager. Biểu tượng của thiết bị sẽ
xuất hiện với dấu cảm thán.
CHÚ Ý Phương pháp khác để gỡ bỏ các trình điều khiển Bạn cũng
có thể gỡ bỏ một trình điều khiển thiết bị bằng cách nhấp Uninstall
trên trang Driver hộp thoại Properties của thiết bị.
■ Advanced (nâng cao) Chứa các điều khiển theo thiết bị do trình
điều khiển thực hiện. Không phải lúc này cũng tồn tại thẻ này dó đó
đôi khi gọi nó là các thiết lập nâng cao.
■ Driver (trình điều khiển) Hiển thị thông tin về trình điều khiển thiết
bị gồm có tên nhà cung cấp, ngày sản xuất, phiên bản, tên file và
cũng chứa các điều khiển cho quá trình cập nhật, phục hồi phiên
bản trước và gỡ bỏ trình điều khiển.
■ Resources (các tài nguyên) Hiển thị các tài nguyên phần cứng hiện
đang được các thiết bị sử dụng và trong các điều kiện cụ thể nó
cung cấp các điều khiển để thay đổi cấu hình tài nguyên. Thẻ này
không phải lúc nào cũng tồn tại.
Hình 11-11: Các lựa chọn cập nhật trình điều khiển
Thay vì tìm kiếm trình điều khiển, bạn cũng có thể lựa chọn Don’t Search
(không tìm kiếm) và bạn sẽ nhận được một trang như hình vẽ 11-12. Trang
này liệt kê tất cả các trình điều khiển sẵn có trên hệ điều hành và tương thích
với phần cứng lựa chọn. Bạn cũng có thể nhấp vào nút Have Disk để xác
định một vị trí khác chứa trình điều khiển.
Hình 11-12: Lựa chọn một trình điều khiển cập nhật
Khi trình hướng dẫn hoàn thành tiến trình cài đặt trình điều khiển cập nhật,
bạn có thể nhận được yêu cầu khởi động lại máy tính tùy thuộc vào loại thiết
bị liên quan.
Device Manager để cập nhật một trình điều khiển thiết bị, Windows Server
2003 tự động giữ lại một phiên bản của các file được thay thế. Để quay trở
lại với phiên bản đã cài đặt trước của trình điều khiển, bạn mở hộp thoại
Properties của thiết bị và trên thẻ Driver lựa chọn Roll Back Driver.
Hình 11-13: Thẻ Resources trên hộp thoại Properties của một thiết bị
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290 yêu cầu
các học viên có khả năng “cấu hình các thiết lập tài nguyên cho
thiết bị”.
Trên thẻ này, hộp Resource Settings xác định các tài nguyên mà thiết bị hiện
nay đang sử dụng theo loại và theo thiết lập. Với các thiết bị cài đặt sử dụng
PnP, thẻ Resources chỉ mang tính chất cung cấp thông tin. Bạn không thể
thay đổi cấu hình tài nguyên trên đó. Với các thiết bị cấu hình bằng tay, bạn
có thể thay đổi các thiết lập tài nguyên mà trình điều khiển sử dụng.
Để thay đổi các thiết lập tài nguyên của một thiết bị, bạn phải xóa hộp kiểm
tra Use Automatic Settings để cho phép các điều khiển khác trên thẻ. Kế đó
bạn có thể sử dụng danh sách thả xuông Settings Based On để lựa chọn một
cấu hình phần cứng được thiết lập trước nếu có bất kỳ cái nào có thể. Bạn
cũng có thể thay đổi thiết lập cho bất kỳ tài nguyên nào được liệt kê trong
hộp Resource Settings bằng cách lựa chọn nó, nhấp vào Change Settings và
chọn một giá trị khác.
Nếu bạn xác định một thiết lập tài nguyên trùng với cái mà một thiết bị khác
hiện đang sử dụng thì thiết bị đó sẽ xuất hiện trong hộp danh sách
Conflicting Device. Bạn phải lựa chọn các tài nguyên chưa được sử dụng
nhằm ngăn không cho xảy ra tình trạng các thiết bị xung đột hoạt động
không đúng chức năng.
CẢNH BÁO Xác định tài nguyên bằng tay Một khi bạn đã cấu hình
thủ công các tài nguyên cho một trình điều khiển thiết bị, các tài
nguyên này được cấp phát một cách cố định. PnP không thể sử
dụng các thiết lập này khi cấu hình cho các thiết bị khác thậm chí để
giải phóng các tài nguyên xác định do các thiết bị khác sử dụng.
■ Game Controllers (bộ điều khiển trò chơi) Cho phép truy cập tới
các trình điều khiển thiết bị dành cho bất kỳ bộ điều khiển trò chơi
nào được cài đặt trên máy tính.
■ Keyboard (bàn phím) Cho phép truy cập tới các trình điều khiển
thiết bị dành cho bàn phím được cài đặt trên máy tính.
■ Mouse (chuột) Cho phép truy cập tới các trình điều khiển thiết bị
dành cho chuột hoặc thiết bị con trỏ khác được cài đặt trên máy
tính.
■ Network Connections (các kết nối mạng) Cho phép truy cập tới
các trình điều khiển thiết bị dành cho các card mạng được cài đặt
trên máy tính.
■ Phone And Modem Options (các lựa chọn về điện thoại và
modem) Cho phép truy cập tới các trình điều khiển thiết bị dành
cho bất kỳ modem nào được cài đặt trên máy tính.
■ Printers and Faxes (máy in và máy fax) Cho phép truy cập tới các
trình điều khiển thiết bị dành cho các máy in được cài đặt trên máy
tính.
■ Scanners and Cameras (máy quét và máy ảnh) Cho phép truy cập
tới các trình điều khiển thiết bị dành cho các máy quét và máy ảnh
được cài đặt trên máy tính.
■ Soundss and Audio Devices (âm thanh và các thiết bị audio) Cho
phép truy cập tới các trình điều khiển thiết bị dành cho các card âm
thanh và các thành phần liên quan tới âm thanh khác được cài đặt trên
máy tính.
■ System Cho phép truy cập tới hộp thoại Properties gồm có Device
Manager, Add Hardware Wizard và các điều khiển về xác nhận trình
điều khiển.
Trong hầu hết các trường hợp, Control Panel cũng như Device Manager
đều cung cấp khả năng truy cập tới cùng hộp thoại Properties. Các điều
khiển này cũng bị hạn chế về mặt truy cập như Device Manager.
3 Trình điều khiển thiết bị này Trình điều khiển có thể bị hỏng.
có thể bị hỏng hoặc hệ thống Nếu bạn cố gắng tải một file bị
của bạn đang ở trong tình hỏng, hệ thống có thể nghĩ rằng
trạng bộ nhớ hoặc các tài nó cần nhiều bộ nhớ hơn. Sử
nguyên khác thấp dụng công cụ Task Manager để
xác nhận rằng hệ thống của bạn
không ở trong tình trạng bộ nhớ
thấp. Nếu bộ nhớ vẫn đủ, sử
dụng Update Driver để cài đặt
một bản sao khác của trình điều
khiển ấy.
10 Thiết bị không thể khởi động Kiểm tra để xác nhận rằng phần
cứng đã được cài đặt chính xác
trên máy tính. Nếu đúng, chạy
Hardware Update Wizard và sử
dụng nút Update Driver nhưng
không cho phép Windows
Server 2003 tự động phát hiện
thiết bị. Thay vào đó lựa chọn
Install From A List Or Specific
Location (cài đặt từ một danh
sách hoặc một thư mục xác
định) và trỏ trình hướng dẫn tới
trình điều khiển tương ứng.
12 Thiết bị này không thể tìm Lựa chọn thẻ Resources trên
đủ được tài nguyên trống để hộp thoại Properties chứa các
sử dụng. Nếu bạn muốn sử lỗi. Windows Server 2003 sẽ
dụng thiết bị này, bạn cần vô phát hiện được các thành phần
hiệu một trong các thiết bị đang xung đột với thiết bị. Bạn
khác trên hệ thống này. cần vô hiệu hóa hoặc gỡ bỏ
thành phần xung đột này. Sau
đó bạn có thể cài đặt lại thiết bị
mà bạn vừa gỡ bỏ và xem hệ
thống có gán tài nguyên khác
cho nó không. Nếu không, bạn
phải gán tài nguyên cho nó một
cách thủ công.
Các lỗi Tùy thuộc vào từng trường Hầu hết các lỗi khác đều liên
khác hợp quan tới trình điều khiển không
tương thích hoặc cấu hình trình
điều khiển không chính xác. Cố
gắng sử dụng một trình điều
khiển khác hoặc gỡ bỏ thiết bị
ra khỏi Device Manager và cài
đặt lại nó.
Hình 11-14: Danh sách phần cứng cài đặt trong Add Hardware Wizard
Các công cụ xử lý sự cố trên Windows Server 2003 được thực hiện trong
Help And Support Center như hình vẽ 11-15. Màn hình xuất hiện tùy thuộc
vào lỗi trên thiết bị và trạng thái hiện tại của phần cứng. Ví dụ, một công cụ
xử lý sự cố thông thường sẽ hỏi bạn xác nhận rằng thiết bị có nằm trong
HCL (danh sách phần cứng tương thích) trên Windows Server 2003 và tiếp
theo hỏi bạn gần đây có cài đặt trình điều khiển thiết bị mới không. Tiếp
theo công cụ xử lý có thể cung cấp các hướng dẫn giúp bạn xử lý những rắc
rối trên thiết bị như sử dụng lại trình điều khiển cũ hoặc cài đặt lại thiết bị
chẳng hạn.
Hình 11-15: Màn hình xứ lý sự cố phần cứng trên Windows Server 2003
Phục hồi trạng thái từ Device Disaster (thảm họa thiết bị)
Đôi khi, việc cài đặt hoặc nâng cấp một trình điều khiển thiết bị có thể gây
ra những lỗi nghiêm trọng trên hệ thống của bạn. Tùy thuộc vào sự quan
trọng của thiết bị mà ảnh hưởng của nó có thể là từ mức độ không đáng kể
đến mức độ cực kỳ nguy hiểm. Điều này đặc biệt đúng đối với các thành
phần hệ thống lõi như các trình điều khiển màn hình chẳng hạn bởi vì cấu
hình lỗi có thể làm cho máy tính của bạn không thể sử dụng được. Quay trở
lại trình điều khiển cũ rất khó khăn do bạn không thể nhìn thấy màn hình.
Windows Server 2003 cung cấp nhiều phương pháp cho phép bạn phục hồi
hệ thống do những lỗi liên quan đến trình điều khiển. Các công cụ được thiết
kế cho các mục đích khác nhau. Bạn có thể sử dụng các công cụ sau để phục
hồi lỗi do quá trình cài đặt trình điều khiển:
■ Driver Rollback (sử dụng lại trình điều khiển cũ) Như đã đề cập ở
trên, sử dụng lại phiên bản trình điều khiển cũ là phương pháp dễ
dàng để giải quyết lỗi do trình điều khiển sai. Tất nhiên bạn phải có
đủ quyền hệ thống để sử dụng Device Manager và thực hiện chức
năng này.
■ Last Known Good Configuration (cấu hình tốt nhất mà bạn sử
dụng trong lần gần đây nhất) Được sử dụng khi một thiết bị cập
nhật trình điều khiển yêu cầu khởi động lại và máy tính không thể
khởi động đến điểm cho phép bạn đăng nhập vào hệ điều hành. Khi
bạn thay đổi các trình điều khiển, hệ thống yêu cầu khởi động lại
nhưng lỗi nằm trong tiến trình khởi động, bạn có thể nhấn phím F8
khi hệ thống khởi động lại và lựa chọn Last Know Good
TỔNG KẾT
■ Các trình điều khiển thiết bị là các phần mềm cho phép các ứng
dụng và hệ điều hành liên kết với các thiết bị phần cứng xác định.
Mỗi thiết bị phần cứng mà bạn cài đặt trên máy tính đều phải có
một trình điều khiển tương ứng được thiết kế cho hệ điều hành mà
máy tính của bạn đang sử dụng.
■ Plug and Play (PnP) là một chuẩn cho phép các máy tính phát hiện
và nhận diện các thiết bị phần cứng và tiếp theo cài đặt, cấu hình
trình điều khiển cho chúng. PnP tự động gán các tài nguyên phần
cứng cho mỗi thiết bị và bạn có thể cấu hình lại các thiết bị khác để
phù hợp với những nhu cầu đặc biệt của mỗi thành phần.
■ Windows Server 2003 chứa một thư viện lớn các trình điều khiển
dành cho nhiều thiết bị phần cứng khác nhau. Nếu Windows không
chứa trình điều khiển cho thiết bị trên máy tính của bạn thì bạn phải
lấy chúng từ nhà sản xuất thiết bị đó (thông thường chúng đi kèm
theo thiết bị và được chứa trong đĩa CD cài đặt hoặc đĩa mềm)
■ Các trình điều khiển sẵn có trên Windows Server 2003 tất cả đều
được kiểm chứng và đảm bảo rằng chúng tương thích hoàn toàn với
hệ điều hành. Bạn có thể cấu hình cách thức xử lý của hệ điều hành
khi bạn thực hiện cài đặt một trình điều khiển chưa qua kiểm chứng
bằng cách sử dụng hộp thoại Driver Signing Options.
■ Để liên lạc với máy tính, các thiết bị phần cứng sử dụng các tài
nguyên phần cứng như các yêu cầu ngắt (IRQ), các địa chỉ vào/ra
(I/O), các kênh DMA (truy cập trực tiếp bộ nhớ) và các địa chỉ bộ
nhớ chẳng hạn.
■ Device Manager là một màn hình quản trị liệt kê tất cả các thiết bị
phần cứng trên máy tính của bạn và chỉ rõ những lỗi liên quan đến
thiết bị hoặc trình điều khiển.
■ Sử dụng Device Manager, bạn có thể cho phép hoặc vô hiệu hóa
các thiết bị, cập nhật hoặc sử dụng lại các trình điều khiển, quản lý
thiết bị và các đặc tính trình điều khiển của chúng và giải quyết
những lỗi xung đột tài nguyên phần cứng.
■ Người sử dụng phải có quyền quản trị mới có thể cài đặt và quản lý
các thiết bị phần cứng cũng như các trình điều khiển của chúng.
Một ngoại lệ đối với trường hợp này đó là người sử dụng không có
quyền quản trị vẫn có thể cài đặt các thiết bị PnP khi thiết bị đó
không yêu cầu bạn cấp trình điều khiển hoặc yêu cầu sự can thiệp
của người sử dụng.
■ Nhiều nhà sản xuất thiết bị phần cứng đưa ra các cập nhật cho trình
điều khiển một cách định kỳ. Điều này buộc người quản trị hệ
thống phải quyết định có nên cài đặt chúng không và ai là người cài
đặt chúng, khi nào thì cài đặt.
■ Lựa chọn Last Known Good Configuration rất hữu dụng cho bạn
quay trở lại trình điều khiển đã được sử dụng trước đó nhưng chỉ
khi nào bạn chưa đăng nhập thành công vào hệ thống.
■ Khởi động máy tính trong chế độ Safe Mode sẽ chỉ tải một phần tối
thiểu các trình điều khiển, cho phép bạn truy cập vào Device
Manager và có thể vô hiệu hóa, gỡ bỏ hoặc quay trở lại trình điều
khiển cũ nhằm ngăn không cho hệ thống rơi vào tình trạng hoạt
động thiếu ổn định.
Bài tập thực hành thực hành 11-1: Hiển thị các tài nguyên
phần cứng
Trong bài thực hành này, bạn sẽ sử dụng Device Manager để hiển thị các tài
nguyên phần cứng trên máy tính của bạn và các thiết bị đang sử dụng chúng.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
2. Nhấp Start, trỏ tới Control Panel và chọn System. Hộp thoại
System Properties xuất hiện.
3. Lựa chọn thẻ Hardware và tiếp theo nhấp vào Device Manager.
Cửa sổ Device Manager xuất hiện.
4. Trên thực đơn View chọn Resources By Type.
5. Mở rộng tiêu đề Interrupt Request (IRQ) và chú ý các thiết bị sử
dụng các chuỗi IRQ của hệ thống.
===============================================
Bài tập thực hành thực hành 11-2: Cấu hình các lựa chọn chữ
ký trình điều khiển
Trong bài thực hành này, bạn sẽ cấu hình các lựa chọn về trình điều khiển
được xác thực trên máy tính.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
2. Nhấp Start, trỏ tới Control Panel và chọn System. Hộp thoại
System Properties xuất hiện.
3. Lựa chọn thẻ Hardware rồi nhấp vào Driver Signing. Hộp thoại
Driver Signing Options xuất hiện.
4. Lựa chọn Block và nhấp OK. Bạn sẽ không được phép cài đặt các
trình điều khiển chưa được hãng Microsoft ký xác nhận.
===============================================
Bài tập thực hành thực hành 11-3: Cài đặt trình điều khiển
thiết bị
Trong bài thực hành này, bạn sẽ cài đặt trình điều khiển thiết bị cho một card
mạng không có thực trên máy tính của bạn.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
2. Nhấp Start, trỏ tới Control Panel và chọn System. Hộp thoại System
Properties xuất hiện.
3. Lựa chọn thẻ Hardware rồi nhấp vào Add Hardware Wizard.
4. Nhấp Next và đợi trình hướng dẫn quét máy tính của bạn để tìm ra
thiết bị mới. Nếu bạn không thêm bất kỳ thiết bị nào, trình hướng dẫn
sẽ hỏi bạn xem thiết bị mới đã được kết nối chưa.
5. Lựa chọn Yes, I Have Already Connected The Hardware và nhấp
Next.
6. Cuộn tới phần cuối trong danh sách thiết bị phần cứng cài đặt
Installed Hardware, lựa chọn Add A New Hardware Device và kế đó
nhấp Next.
7. Lựa chọn Install The Hardware That I Manually Select From A List
(Advanced) và nhấp Next.
8. Trong danh sách Common Hardware Types, lựa chọn Network
Adapters rồi nhấp Next.
9. Lựa chọn Microsoft là nhà sản xuất và Microsoft Loopback Adapter
là card mạng rồi nhấp Next.
10. Nhấp Next để cài đặt card và tiếp theo nhấp Finish để đóng trình
hướng dẫn lại.
11. Windows Server 2003 sẽ tải trình điều khiển và cài đặt thiết bị. Một
card mạng mới có tên Microsoft Loopback Adapter sẽ xuất hiện trong
Device Manager bên dưới nhóm Network Adapters.
khiển nhằm kiểm tra quá trình hoạt động của nó. Bạn sẽ sử dụng
lựa chọn nào trong Device Manager để thử trình điều khiển mới?
6. Bạn muốn hiển thị danh sách các thiết bị được kết nối tới hệ thống
Windows Server 2003 của bạn theo IRQ. Bạn sẽ sử dụng các
phương pháp nào dưới đây để thực hiện công việc này? (Lựa chọn
tất cả các câu trả lời đúng)
a. Sử dụng Device Manager, từ thực đơn View lựa chọn
Resources By Connection.
b. Sử dụng Device Manager, từ thực đơn View lựa chọn
Resources By Type.
c. Sử dụng Device Manager, từ thực đơn View lựa chọn Device
By Connection.
d. Sử dụng Device Manager, từ thực đơn View lựa chọn Devices
By Type.
7. Gần đây bạn có cài đặt ba card mạng cũ trên một máy chủ thành
viên Windows Server 2003. Hai card làm việc tốt nhưng cái thứ ba
bị xung đột với các thiết bị khác trên hệ thống của bạn. Bạn phải
làm gì để có thể xác định thiết bị nào trên hệ thống đang xung đột
với card mạng thứ ba này?
a. Sử dụng Device Manager và tìm kiếm thiết bị khác có ký hiệu
màu vàng và dấu cảm thán màu đen bên cạnh nó.
b. Xem nhật ký sự kiện ứng dụng và tìm kiếm bản ghi mô tả thiết
bị đang xung đột với card mạng này.
c. Sử dụng Device Manager và tìm kiếm thiết bị khác có ký hiệu
màu vàng và dấu cảm thán màu đen bên cạnh nó. Trên thực đơn
Action, lựa chọn Properties. Trên thẻ Resources, một danh
sách các thiết bị xung đột sẽ hiển thị các tài nguyên xung đột.
Kịch bản 11-1: Xử lý các sự cố liên quan đến trình điều khiển
video
Bạn vừa hoàn thành cấu hình một trình điều khiển mới cho card màn hình và
nhận được thông báo nhắc nhở bạn khởi động lại máy tính nhằm làm cho
những thay đổi có tác dụng. Ngay sau khi bạn khởi động lại máy tính, màn
hình xuất hiện một màu đen. Kỹ thuật xử lý sự cố hoặc công cụ nào cho
phép bạn phục hồi lỗi về trình điều khiển màn hình này một cách dễ dàng
nhất?
a. Last Known Good Configuration
b. Driver Rollback
c. Safe Made
d. Recovery Console
===============================================
Kịch bản 11-2: Thay đổi các thiết lập tài nguyên phần cứng
Bạn là nhà quản trị hệ thống bán thời gian cho một doanh nghiệp nhỏ.
Doanh nghiệp này hiện đang có một máy chủ độc lập chạy Windows Server
2003. Gần đây bạn nhận được một bo mạch fax cũ – đây là một thiết bị cho
phép nhận và gửi nhiều bản fax tại cùng một thời điểm. Bạn cài đặt bo mạch
này trên máy chủ Windows Server 2003 nhưng nó không làm việc. Bạn mở
Device Manager và thấy rằng biểu tượng của bo mạch fax có một cảnh báo
màu vàng với dấu cảm thán màu đen. Bạn phát hiện ra rằng có một sự xung
đột về IRQ với một thiết bị khác trên hệ thống, đó là một bộ điều khiển
RAID cũ. Trong các phương pháp dưới đây, đâu là phương pháp đúng cho
phép thay đổi cấu hình bo mạch để không xảy ra xung đột giữa nó với bộ
điều khiển RAID?
a. Trên màn hình Device Manger, lựa chọn bộ điều khiển RAID.
Trên thực đơn Action, lựa chọn Properties. Lựa chọn thẻ
Không giống như các đĩa (Disk) và các phân vùng (Partition), luôn được đặt
tại gốc trong cấu hình vật lý của phân hệ thống lưu trữ, volume (đôi khi còn
gọi là một ổ đĩa logic) là một đơn vị lưu trữ logic mà bạn có thể tạo ra và
quản lý chúng nhờ các công cụ lưu trữ trong Windows Server 2003. Một
volume có thể chứa tất cả hoặc một phần của một hoặc của nhiều các phân
vùng đĩa vật lý. Ở đây một lần nữa, cấu hình đơn giản nhất có thể là một cấu
hình mà một volume đơn chứa toàn bộ một phân vùng, phân vùng này lại
bao gồm toàn bộ một đĩa vật lý.
Tuy nhiên, bạn cũng có thể tạo ra nhiều volume từ một phân vùng đơn hoặc
một volume từ nhiều phân vùng. Có nhiều lý do để sử dụng cả hai phương
thức nói trên để quản lý đĩa. Việc tạo ra nhiều volume từ một phân vùng đơn
cho phép bạn tách riêng một cách logic các loại dữ liệu khác nhau. Ví dụ,
bạn có thể sử dụng một volume để cài đặt các ứng dụng và cái khác để lưu
trữ các file dữ liệu. Nó làm đơn giản hoá quá trình điều khiển truy cập cho
người quản trị và ngăn không cho các loại dữ liệu bị trộn lẫn với nhau. Việc
phối hợp các phân vùng từ nhiều đĩa vật lý vào trong một volume cho phép
bạn hợp nhất tất cả các không gian đĩa vào trong một tổ hợp đĩa được hiển
thị bởi một ký tự ổ đĩa. Kỹ thuật này cũng cho phép bạn thực hiện các kỹ
thuật lưu trữ cao cấp nhằm nâng cao hiệu năng và cung cấp thêm khả năng
chống lỗi như disk mirroring (ánh xạ đĩa), disk striping (ghi đĩa theo từng
dọc) và redundant array of independent disks (RAID_ dãy các đĩa độc lập
có khả năng chống lỗi) chẳng hạn.
CHÚ Ý Các volume và các ký tự ổ đĩa Trong hầu hết các
trường hợp, một volume được hiển thị bởi một ký tự ổ đĩa, thậm chí
khi volume bao gồm nhiều phân vùng trên các đĩa vật lý khác nhau.
Tuy nhiên, một volume không nhất thiết phải có một ký tự ổ đĩa. Bạn
có thể gắn một volume như một thư mục trên một volume khác để
kết hợp một cách hiệu quả hai volume vào trong một ký tự ổ đĩa
logic.
Số lượng và tính chất của các phân vùng và các volume bạn có thể tạo ra từ
không gian trên đĩa vật lý phụ thuộc vào kiểu lưu trữ đang sử dụng trên
Windows Server 2003: lưu trữ cơ bản hay lưu trữ động. Các loại hình lưu trữ
này sẽ được nêu chi tiết trong các phần dưới đây.
LƯU Ý Sự nhầm lẫn thuật ngữ Nếu bạn có khó khăn trong
việc phân biệt giữa các đĩa vật lý, các phân vùng và các volume thì
bạn cũng đừng quá lo lắng. Nhiều tài liệu tham khảo và thậm chí là
một số tài liệu của Microsoft cũng sử dụng sai các khái niệm này.
Tuy nhiên khi bạn tìm hiểu về các khả năng của các hệ thống lưu trữ
động và cơ bản trên Windows Server 2003 thì sự khác biệt giữa các
khái niệm lưu trữ này sẽ trở nên rõ ràng hơn.
CHÚ Ý Các đĩa cơ bản và thiết bị lưu trữ gắn ngoài Các
thiết bị lưu trữ gắn ngoài chỉ có thể chứa các phân vùng chính. Bạn
không thể tạo ra các phân vùng mở rộng hoặc các ổ đĩa logic trên
chúng. Bạn cũng không thể có một phân vùng được kích hoạt
(Active Partition) trên đó. Tuy nhiên, cần lưu ý rằng, các ổ cứng
gắn ngoài sử dụng kết nối USB2.0 hoặc IEEE 1394 sẽ không được
xem như là các đĩa gắn ngoài.
■ Span volume (Ổ đĩa logic mở rộng) Một span volume bao gồm
các không gian lưu trữ trên nhiều đĩa cứng vật lý. Bạn có thể tạo
một span volume sử dụng không gian lưu trữ lên tới 32 đĩa vật lý
và các kích thước sử dụng trên mỗi đĩa có thể khác nhau. Khi hệ
thống thực hiện ghi dữ liệu lên một span volume, nó sẽ bắt đầu
bằng cách ghi đầy một đĩa vật lý rồi khi tiếp lên lần lượt các đĩa
tiếp theo. Do đó mà span volume không đem lại khả năng chống lỗi
. Bạn có thể mở rộng một span volume mà không làm mất dữ liệu
bằng việc bổ sung không gian từ bất cứ đĩa vật lý nào của hệ thống.
Nhược điểm lớn nhất của các span volume là khả năng mất mát
tiềm ẩn của chúng được nhân lên cùng với số các đĩa cứng được sử
dụng để cung cấp không gian lưu trữ cho volume. Nếu một đĩa bị
hỏng thì cả volume cũng sẽ mất.
■ Striped Volume (Ổ đĩa logic ghi theo vạch) Một striped volume
(còn gọi là RAID 0) là sự kết hợp của các vùng không gian trên các
đĩa cứng vật lý khác nhau (tối đa 32 đĩa cứng). Tuy nhiên, không
giống như span volume, Windows Server 2003 ghi dữ liệu lên tất
cả các đĩa vật lý trong volume (gọi là stripe set – Tập các vạch) với
cùng một tốc độ. Hệ thống sẽ thực hiện tiến trình ghi lần lượt các
khối (block) dữ liệu lên mỗi đĩa vật lý và do có nhiều đầu đọc được
sử dụng cùng một lúc nên hiệu suất đọc/ghi tỷ lệ thuận với số lượng
đĩa cứng trên volume. Nhưng cũng giống như span volume, nếu
một đĩa bị hỏng thì tất cả dữ liệu trên volume cũng bị mất .
CHÚ Ý Stripping và hiệu năng Bạn sẽ không cải thiện
được hiệu suất trên một striped volume khi sử dụng các ổ đĩa IDE
trừ phi bạn sử dụng các kênh giao tiếp IDE riêng biệt cho mỗi đĩa
cứng vật lý. Điều này xảy ra vì hai đĩa sử dụng chung một kênh sẽ
không nhận và thực thi các mệnh lệnh một cách đồng thời . Các
kênh giao tiếp riêng biệt sẽ cải thiện hiệu suất bằng cách phân phối
các yêu cầu I/O giữa các bộ điều khiển cũng như giữa các ổ đĩa. Để
đạt hiệu suất cao nhất, bạn nên sử dụng các ổ đĩa SCSI. Các giao
tiếp SCSI có thể gửi các câu lệnh tới mọi ổ đĩa trên cùng kênh (bus)
và các ổ đĩa có thể thực thi chúng một cách đồng thời.
■ Mirrored volume (Ổ logic Ánh xạ) Một mirrored volume (còn
gọi là RAID 1) bao gồm hai bản sao y hệt của cùng một simple
volume và mỗi bản sao nằm trên một đĩa vật lý riêng biệt . Tất cả
dữ liệu lưu trữ trên volume được ghi lên cả hai đĩa một cách đồng
thời. Các mirrored volume cung cấp khả năng chống lỗi cho bạn:
nếu một đĩa vật lý bị hỏng thì đĩa còn lại vẫn hoạt động như
thường. Nhược điểm của phương pháp này là dung lượng của
volume chỉ bằng một nửa không gian lưu trữ của đĩa vật lý .
■ RAID-5 volume RAID-5 là kỹ thuật lưu trữ dữ liệu cung cấp khả
năng chống lỗi ở đó dữ liệu được ghi lên các đĩa cứng vật lý khác
nhau và được xem như một volume duy nhất. Cũng tương tự như
striped volume, trên RAID-5 volume hệ thống sẽ thực hiện ghi dữ
liệu lên tất cả các đĩa cứng vật lý với cùng một tốc độ nhưng kèm
theo đó có dữ liệu kiểm tra gọi là chẵn lẻ (Parity). Mặc dù dữ liệu
chẵn lẻ được phân phối cho tất các đĩa trong dãy đĩa nhưng tổng
dung lượng sử dụng cho dữ liệu này không lớn hơn dung lượng của
một đĩa. Nếu một đĩa trong volume bị hỏng, các đĩa còn lại sẽ tái
tạo dữ liệu bị mất bằng việc sử dụng dữ liệu chẵn lẻ. Quá trình tính
toán sử dụng bit chẵn lẻ trong tiến trình ghi dữ liệu sẽ tạo nên một
tải thêm vào lên bộ vi xử lý của hệ thống. Tuy nhiên, RAID-5 lại
gia tăng hiệu suất đọc vì dữ liệu được đọc đồng thời từ nhiều đầu
đọc .
CHÚ Ý Các hạn chế của volume hệ thống Do tính chất quan
trọng của volume hệ thống đối với sự hoạt động của hệ thống nên
Windows Server 2003 đưa ra những giới hạn đặc biệt đối với
volume này. Bạn không thể cài đặt hệ điều hành trên một span,
stripe hay RAID-5 volume và cũng không thể mở rộng volume hệ
thống sau khi cài đặt. Tuy nhiên bạn vẫn có thể triển khai mirror
volume trên volume hệ thống.
bạn di chuyển một đĩa từ máy chủ lỗi sang một máy chủ hoạt động với thời
gian gián đoạn là nhỏ nhất. Mỗi một máy tính Window 20000, Windows
XP, Windows Server 2003 có thể hỗ trợ một nhóm đĩa mà bản thân nó có
thể bao gồm nhiều đĩa động. Cơ sở dữ liệu LDM được nhân bản giữa các đĩa
trong cùng một nhóm làm tăng khả năng phục hồi thông tin cấu hình cho tất
cả các đĩa trong nhóm. Tuy nhiên, nếu máy tính của bạn chỉ có một ổ cứng
duy nhất thì lưu trữ động sẽ không đem lại bất cứ ưu điểm nào rõ rệt ngoại
trừ bạn cần hơn 4 phân vùng trên đĩa cứng đó. Chỉ khi nào bạn có từ 2 ổ đĩa
cứng động trở lên thì bạn mới có thể tận dụng những lợi ích của các kiểu
volume như span hay stripe.
Mặc dù đĩa động với nhiều ưu điểm của nó nhưng bạn vẫn có lý do để sử
dụng đĩa cơ bản chẳng hạn như:
■ Do cách thức hoạt động của cơ sở dữ liệu LDM nên bạn sẽ rất khó
khăn khi chuyển một đĩa động được sử dụng để khởi động hệ điều
hành sang một máy tính khác khi hệ thống gốc bị lỗi.
■ Đĩa động không hỗ trợ cho các thiết bị ngoại vi và cũng không hỗ
trợ trên máy tính xách tay.
■ Lưu trữ cơ bản là chuẩn công nghiệp vì vậy các ổ đĩa loại này có
thể truy cập được bởi các hệ điều hành khác nhau bao gồm MS-
DOS, tất cả các phiên bản Windows và hầu hết các hệ điều hành
khác. Do đó bạn sẽ không thể truy nhập được tới các đĩa động nếu
bạn khởi động hệ thống từ một hệ điều hành không phải là
Windows Server 2003, Windows XP hay Windows 2000.
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290
yêu cầu các học viên có khả năng “quản trị các đĩa cơ bản và đĩa
động”.
công cụ Start. Để mở màn hình quản trị này nhấp Start, lựa chọn
Run và gõ diskmgmt.msc trên hộp thoại Open và nhấp OK.
Giao diện Disk Management khác với hầu hết các MMC snap-in khác. Nó
không có một cửa sổ quản trị tập trung, tất cả các điều khiển đều được đặt
trong cửa sổ chi tiết. Bản thân cửa sổ chi tiết này được chia thành hai cửa sổ:
cửa sổ phía trên và cửa sổ bên dưới như hình vẽ 12-1. Mặc định, cửa sổ phía
trên chứa một danh sách các volume hiển thị các volume trên tất cả các đĩa
cứng vật lý. Danh sách này chỉ hiển thị các volume đối với các đĩa động còn
với đĩa cơ bản cửa sổ này chứa một danh sách các phân vùng chính và các ổ
đĩa logic.
■ Status Xác định trạng thái hiện tại của volume bằng việc sử dụng
một trong các giá trị sau:
■ Failed (hỏng)– xác nhận rằng volume không thể khởi động được
■ Failed Redundancy (dư phòng hỏng)– xác nhận rằng một
mirrored volume hoặc RAID-5 volume không có khả năng chống
lỗi do có một đĩa bị lỗi.
■ Formatting (đang đinh dạng)– xác nhận rằng volume này đang
trong tiến trình định dạng.
■ Healthy (Khỏe mạnh) – xác nhận rằng volume hoạt động bình
thường.
■ Regenerating (Tái tạo lại)– xác nhận rằng một RAID-5 volume
đang ở trong tiến trình tạo lại dữ liệu trên một đĩa phục hồi mới.
■ Resynching (Đang đồng bộ lại)– xác nhận rằng một mirrored
volume đang ở trong tiến trình tạo lại dữ liệu trên một đĩa phục hồi
mới.
■ Unknown (không biết)– xác nhận rằng sector khởi động (Boot
sector) của volume bị hỏng.
■ Capacity Xác định dung lượng tổng cộng của volume theo đơn vị
MB hoặc GB.
■ Free Space Xác định dung lượng của không gian trống trên volume
theo đơn vị MB hoặc GB.
■ %Free Xác định phần trăm dung lượng của volume còn trống.
■ Fault Tolerance Xác định xem kiểu volume có cung cấp khả năng
chống lỗi không.
■ Overhead Xác định phần trăm dung lượng volume dành cho việc
lưu trữ dữ liệu dự phòng.
Cửa sổ bên dưới của màn hình quản trị Disk Management chứa một màn
hình hiển thị dạng đồ họa các đĩa vật lý trên máy tính. Với mỗi đĩa, màn
hình hiển thị xác định thông tin sau:
■ Disk Identifier (mã nhận diện đĩa) xác định số hiệu mà hệ thống
gán cho đĩa. Mã nhận diện đĩa cứng được bắt đầu với Disk0 và các
ổ đĩa CD-ROM với CD-ROM 0.
■ Disk Type (chủng loại đĩa) xác định xem đĩa là một đĩa cơ bản hay
đĩa động, là CD-ROM hay DVD-ROM.
■ Disk Size (dung lượng đĩa cứng) xác định dung lượng tổng cộng
của đĩa.
■ Disk Status (trạng thái của đĩa) Xác định trạng thái hiện tại của đĩa
bằng cách sử dụng một trong các giá trị sau:
■ Audio CD – xác nhận rằng một ổ đĩa CD-ROM hoặc DVD-ROM
có chứa một đĩa audio CD.
■ Foreign – xác nhận rằng có một đĩa động được di chuyển từ một
máy tính khác nhưng chưa được đưa vào cấu hình của hệ thống
hiện tại. Chạy lệnh Import Foreign Disks để truy cập đến đĩa.
■ Initializing – xác nhận rằng đĩa đang trong tiến trình chuyển đổi từ
một đĩa cơ bản thành một đĩa động.
■ Missing – xác nhận rằng một đĩa động đã bị loại bỏ ra khỏi máy
tính hoặc bị đứt kết nối hoặc bị hỏng hóc. Sử dụng câu lệnh
Reactive Disk để truy cập vào đĩa bị ngắt kết nối trước kia.
■ No Media – xác nhận rằng một ổ đĩa CD-ROM, DVD-ROM hoặc
một ổ đĩa di động hiện tại đang trống.
■ Not Initialized – xác nhận rằng đĩa không có một chữ ký số hợp lệ.
Sử dụng Initialize Disk để kích hoạt đĩa.
■ Online – xác nhận đĩa có khả năng truy cập và hoạt động bình
thường.
■ Online (Errors) – xác nhận rằng đã phát hiện thấy các lỗi I/O trên
khu vực của đĩa động.
■ Offline – xác nhận rằng không thể truy cập được đến đĩa động.
■ Unreadable – xác nhận rằng đĩa không thể truy cập, nguyên nhân
có thể do lỗi phần cứng, lỗi I/O hoặc cơ sở dữ liệu LDM bị hỏng.
Các thanh (bar) được hiển thị theo chiều ngang biểu diễn mỗi đĩa được chia
thành các phân đoạn mô tả các volume hoặc các phân vùng khác nhau trên
đĩa cứng đó. Mỗi phân đoạn được đặc trưng bởi các màu khác nhau để bạn
có thể dễ dàng xác định chúng là một volume cơ bản hay là một volume
động hoặc có thể là không gian chưa được sử dụng. Các phân đoạn cũng
chứa các thông tin mà bạn nhìn thấy trong danh sách volume như tên
volume, dung lượng, hệ thống file và trạng thái hiện tại.
Disk Management cho phép bạn tùy biến những gì sẽ xuất hiện trong các
cửa sổ trên và dưới bằng việc sử dụng các câu lệnh trong thực đơn View.
Bạn có thể đảo ngược danh sách volume và màn hình hiển thị đồ họa hoặc
bạn có thể thay thế bằng một danh sách đĩa như hình vẽ 12-2. Danh sách đĩa
cũng có các thông tin như trên màn hình đồ họa ngoài ra còn có Device Type
(chủng loại thiết bị) như IDE hay SCSI chẳng hạn và Partition Style (kiểu
phân vùng) như MBR hoặc GPT (GUID Partition Table – đây là một bảng
phân vùng có giao diện đồ họa, được sử dụng cho các máy tính chạy trên
nền bộ vi xử lý Itanium của hãng Intel).
Hình 12-2: Màn hình Disk Management hiển thị danh sách đĩa
Disk Management cho phép bạn quản lý cục bộ hoặc từ xa khả năng lưu trữ
của một hệ thống. Nó không tương tác trực tiếp với cấu hình đĩa mà làm việc
với dịch vụ quản trị Logical Disk Manager, một dịch vụ được khởi động
trên máy tính bạn quản lý khi khởi tạo màn hình quản trị Disk Management.
Khi bạn lựa chọn một trong các thành phần trên giao diện Disk
Management, bạn có thể truy cập đến một loạt các chức năng từ thực đơn
Action và từ thực đơn ngữ cảnh của các thành phần đó. Các chức năng cụ
thể giúp bạn xác định xem bạn đang lựa chọn một đĩa hay một phân vùng
trên một đĩa cơ bản hay một volume trên một đĩa động. Với mỗi thành phần,
bạn cũng có thể mở hộp thoại Properties để truy cập đến các chức năng
ngoại vi. Các chức năng mà bạn có thể thực hiện sẽ được mô tả trong các
phần dưới.
CHÚ Ý Sử dụng Diskpart.exe Tất cả các công việc bạn thực
hiện trên màn hình quản trị Disk Management đều có thể thực hiện
được với công cụ Diskpart.exe ở chế độ dòng lệnh. Đây là một
chương trình mà bạn có thể sử dụng trực tiếp hoặc trong các kịch
bản nhằm tự động hóa các công việc quản trị đĩa. Để biết thêm
thông tin về việc sử dụng công cụ này, bạn có thể tham khảo trong
phần help trực tuyến trong Windows Server 2003.
Nếu bạn khởi tạo Disk Management sau khi cài đặt đĩa mới, Trình hướng
dẫn Initialize And Convert Disk sẽ tự động xuất hiện. Trình hướng dẫn cho
phép bạn tạo chữ ký trên đĩa mới và chuyển đổi đĩa từ cơ chế lưu trữ cơ bản
mặc định sang cơ chế lưu trữ động. Để khởi tạo đĩa một cách thủ công từ
Disk Management, nhấp chuột phải vào hộp trạng thái của đĩa trên màn
hình đồ họa và từ thực đơn Action, trỏ tới All Tasks rồi lựa chọn Initialize
Disk.
CHÚ Ý Chuyển đổi các đĩa cứng mới Mặc định, Trình hướng
dẫn Initialize And Convert Disk sẽ không chuyển đổi các đĩa cứng
mới, bạn phải thực hiện điều này một cách thủ công.
bạn phải lựa chọn không gian đĩa cứng trống mà bạn vừa tạo và chạy Trình
hướng dẫn New Partition lại một lần nữa, lần này Trình hướng dẫn sẽ cho
phép bạn tạo ổ đĩa logic. Bạn có thể tạo số lượng ổ đĩa logic tùy theo nhu
cầu của bạn cho đến khi bạn sử dụng hết không gian đĩa cứng trên phân
vùng mở rộng. Và một lần nữa, Trình hướng dẫn d cho phép bạn định dạng
các ổ đĩa logic khi bạn tạo chúng hoặc bạn có thể định dạng chúng sau đó.
THÔNG TIN THÊM Để biết thêm thông tin về việc gán các ký tự
ổ đĩa cho các phân vùng và định dạng chúng, xem “Gán các ký tự ổ
đĩa” và “Định dạng các volume” ở phần sau trong chương này.
đĩa. Kế đó bạn phải xóa tất cả các volume trên đĩa động. Tiếp theo
bạn lựa chọn đĩa và chọn Convert To Basic Disk từ thực đơn
Action/All Tasks. Sau khi tạo các phân vùng cơ bản và các ổ đĩa
logic, bạn có thể phục hồi dữ liệu ngược trở lại đĩa.
Hình 12-4: Trang Select Volume Type của New Volume Wizard
Các kiểu volume bạn có thể tạo tùy thuộc vào số lượng đĩa động với không
gian chưa sử dụng trên máy tính.
bạn phải có ít nhất ba đĩa động. Khi bạn lựa chọn bất kỳ loại volume nào
trong số các kiểu trên, Trình hướng dẫn New Volume sẽ hiển thị trang Select
Disks (xem hình vẽ 12-5), ở đó bạn sẽ lựa chọn các đĩa mà bạn muốn sử
dụng để tạo volume.
bạn thay đổi khoảng không gian trên một đĩa, Trình hướng dẫn
cũng thay đổi dung lượng mà các đĩa khác có thể đóng góp.
Kích thước tổng cộng của volume cũng được tính toán khác nhau tùy thuộc
vào kiểu volume khác nhau:
■ Với một spanned volume, kích thước tổng của volume là tổng cộng
số MB bạn xác định với mỗi đĩa đã lựa chọn.
■ Với một stripped volume, kích thước tổng cộng của volume là số
MB bạn xác định nhân với số lượng đĩa bạn lựa chọn.
■ Với một mirrored volume, kích thước tổng cộng của volume là số
MB mà bạn xác định. Đó là do mỗi đĩa chứa một phiên bản dữ liệu
của đĩa còn lại.
■ Với một RAID-5 volume, kích thước tổng cộng của volume là số
MB mà bạn xác định, nhân với số lượng đĩa bạn lựa chọn trừ đi 1.
Đó là do RAID-5 volume sử dụng không gian trên một đĩa để lưu
trữ dữ liệu chẵn lẻ.
Sau khi bạn cấu hình các tham số này, Trình hướng dẫn cho phép bạn gán ký
tự ổ đĩa cho volume và định dạng nó. Chi tiết quá trình này sẽ được mô tả
trong phần sau của chương này.
Phục hồi từ đĩa ánh xạ bị lỗi Tiến trình phục hồi một đĩa lỗi trên một
mirrorred volume tùy thuộc vào kiểu lỗi. Nếu một đĩa có lỗi tạm thời về các
cổng vào/ra I/O, volume trên cả hai đĩa sẽ hiển thị trạng thái Failed
Redundancy. Đĩa có lỗi sẽ thông báo trạng thái Offline hoặc Missing như
hình vẽ 12-6.
Hình 12-6: Một mirrorred volume hiển thị trạng thái Failed
Redundancy (hỏng thông tin dự phòng)
Sau khi bạn đã sửa lỗi do I/O gây ra – có thể là do cáp kết nối bị hỏng hoặc
nguồn điện cung cấp – lựa chọn volume trên đĩa lỗi và trên thực đơn Action
trỏ tới All Tasks và lựa chọn Reactive Volume. Hoặc bạn có thể lựa chọn đĩa
và lựa chọn Reactive Disk. Tiến trình kích hoạt lại (reactive) sẽ làm cho đĩa
hoặc volume quay trở lại trạng thái online. Kế tiếp, hệ thống sẽ tái đồng bộ
lại các đĩa.
Nếu bạn muốn dừng ánh xạ, bạn có ba sự lựa chọn tùy thuộc vào bạn muốn
kết quả là gì:
■ Xóa volume (Delete the volume) Nếu bạn xóa volume, volume và
tất cả thông tin chứa trên đó đều bị xóa. Kết quả là một không gian
chưa sử dụng sẽ được sử dụng cho các volume mới.
■ Gỡ bỏ ánh xạ (remove the mirror) Nếu bạn gỡ bỏ ánh xạ,
mirrorred volume sẽ bị xóa và không gian trên một trong hai đĩa sẽ
trở thành chưa được sử dụng. Đĩa còn lại vẫn duy trì một phiên bản
dữ liệu nhưng dĩ nhiên dữ liệu này không còn tính năng chống lỗi.
■ Dừng ánh xạ (Break the mirror) Nếu bạn dừng ánh xạ, mirrorred
volume sẽ bị dừng hoạt động nhưng cả hai đĩa vẫn duy trì hai phiên
bản dữ liệu độc lập. Phần ánh xạ mà bạn lựa chọn Break Mirror sẽ
duy trì ký tự ổ đĩa của volume ánh xạ gốc, các thư mục chia sẻ, file
phân trang (paging) và các điểm phân tách lại. Đĩa thứ hai sẽ được
gán ký tự ổ đĩa kế tiếp còn trống.
Nếu bạn có một mirrorred volume mà một đĩa vật lý bị lỗi hoàn toàn và cần
được thay thế, bạn không thể đơn giản ánh xạ lại mirrorred volume thậm chí
nếu một trong các đĩa trong tập ánh xạ không còn tồn tại nữa. Trước hết, bạn
phải gỡ bỏ đĩa lỗi ra khỏi tập ánh xạ để dừng ánh xạ. Lựa chọn volume và
trên thực đơn Action trỏ tới All Tasks và lựa chọn Remove Mirror. Trong
hộp thoại Remove Mirror, một điều rất quan trọng đó là lựa chọn đĩa bị lỗi.
Đĩa bạn lựa chọn sẽ bị xóa khi bạn nhấp vào Remove Mirror và đĩa còn lại
trở thành một simple volume. Một khi tiến trình này hoàn thành, bạn có thể
lựa chọn simple volume và sử dụng câu lệnh Add Mirror để sử dụng đĩa
thay thế nhằm tạo một mirror volume mới.
LỜI KHUYÊN CHO KÌ THI Khả năng chống lỗi cho các
volume hệ thống và volume khởi động Do bạn có thể tạo một
mirror volume từ một simple volume sẵn có, nên ánh xạ là kỹ thuật
tự nhiên duy nhất trên Windows Server 2003 mà bạn có thể sử dụng
nhằm cung cấp khả năng chống lỗi cho các volume hệ thống và khởi
động trên máy tính. Bạn không thể sử dụng khả năng RAID-5 trên
Windows Server 2003 dành cho các volume này bởi vì bạn phải
chuyển đổi các đĩa thành lưu trữ động và tạo volume trước khi có
bất kỳ dữ liệu nào được ghi lên chúng. Rõ ràng bạn không thể thực
hiện điều này khi mà hệ điều hành đã được cài đặt. Tuy nhiên, việc
sử dụng RAID cứng cho phép bạn cài đặt hệ điều hành trên một
volume RAID-5.
Cân nhắc các vấn đề sau khi bạn quyết định xem sử dụng RAID cứng hay
RAID mềm:
■ Triển khai RAID cứng sẽ đắt tiền hơn so với RAID mềm và có thể
gặp phải hạn chế trong việc lựa chọn thiết bị chỉ từ một nhà sản
xuất.
■ Triển khai RAID cứng thông thường cung cấp các tác vụ vào/ra
(I/O) trên đĩa nhanh hơn so với RAID mềm.
■ Triển khai RAID cứng có thể bao gồm các đặc tính như thay nóng
các đĩa cứng, cho phép thay thế một đĩa cứng lỗi mà không cần
phải tắt hệ thống và dự phòng nóng cho phép một đĩa bị lỗi được
thay thế tự động bởi một đĩa dự phòng thường trực (online).
Windows Server 2003 hỗ trợ ba loại RAID dưới đây:
■ RAID-0 Đó là các stripped volume nhưng không cung cấp tính
năng chống lỗi. Chúng được xem xét như một tiến trình thực thi
RAID.
■ RAID-1 Các mirrorred volume là kiểu RAID chống lỗi cơ bản
nhất nhưng nó không mang lại hiệu quả lắm. 50% không gian đĩa
được dành cho việc lưu trữ các dữ liệu dự phòng.
■ RAID-5 Đó là các stripped volume với bit chẵn lẻ nhằm cung cấp
tính năng chống lỗi với hiệu năng gia tăng và mức độ sử dụng hiệu
quả hơn so với RAID-1. Cực đại, chỉ có 33% không gian của dãy
đĩa được sử dụng để lưu trữ thông tin chẵn lẻ dự phòng.
Với việc triển khai RAID-1 và RAID-5 trên Windows Server 2003, khả
năng chống lỗi chỉ áp dụng cho một đĩa đơn bị lỗi. Nếu một lỗi thứ hai xảy
ra trước khi dữ liệu bị mất từ lỗi đầu tiên được tái tạo lại thì dữ liệu sẽ bị mất
và chỉ có thể phục hồi chúng từ cơ chế sao lưu.
CHÚ Ý RAID và quá trình sao lưu Kỹ thuật RAID không
được thiết kế với mục đích nhằm thay thế các tiến trình sao lưu hệ
thống thường nhật. Không cần biết giải pháp lưu trữ của bạn có khả
năng chống lỗi ra sao, bạn vẫn phải sao lưu dữ liệu một cách định
kỳ.
Do các RAID-5 volume được tạo ra như các volume động thuần chất từ
không gian chưa định vị nên bạn không thể chuyển đổi một loại volume nào
khác thành RAID-5 volume mà không cần sao lưu dữ liệu trên đó và phục
hồi chúng trên RAID-5 volume mới được tạo ra.
Nếu có một đĩa bị lỗi trong RAID-5 volume, các dữ liệu lưu trữ trên đó vẫn
có thể truy cập được. Trong suốt tiến trình đọc dữ liệu, bất kỳ dữ liệu nào bị
lỗi đều có thể được tái tạo lại nhờ dữ liệu còn lại và dữ liệu chẵn lẻ. Hiệu
năng sẽ bị giảm trong suốt thời gian này và nếu một đĩa thứ hai bị lỗi thì dữ
liệu sẽ bị mất hoàn toàn. Một khi đĩa lỗi hoạt động trở lại, bạn cần sử dụng
câu lệnh Rescan Disks trong màn hình quản trị Disk Management rồi kích
hoạt volume trên đĩa phục hồi mới. Tiếp theo hệ thống sẽ xây dựng lại dữ
liệu lỗi từ bit chẵn lẻ, thực hiện phục hồi đĩa và đưa volume quay trở lại
trạng thái ban đầu.
Có thể bảo vệ phân vùng hệ thống Không thể bảo vệ phân vùng hệ thống
hoặc phân vùng khởi động hoặc phân vùng khởi động
Yêu cầu hai đĩa cứng Yêu cầu có tối thiểu ba đĩa cứng và cho
phép tối đa 32 đĩa cứng
Có một giá trị cao hơn trên mỗi MB Có một giá trị thấp hơn trên mỗi MB
Hiệu năng đọc và ghi tốt Hiệu năng đọc tuyệt vời và hiệu năng ghi
vừa phải
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290
yêu cầu các học viên có khả năng “thực thi giải pháp RAID”
Hình 12-7 Trang Assign Drive Letter Or Path của New Volume Wizard
Thay cho việc gán ký tự ổ đĩa cho một volume, bạn cũng có thể gắn volume
cho một thư mục rỗng trên một ổ đĩa NTFS sẵn có. Bằng cách này, sẽ làm
cho nội dung thực sự của volume sẽ xuất hiện như một thư mục nằm trên ổ
đĩa khác. Khả năng cho phép mở rộng một hệ thống con lưu trữ trên
Windows Server 2003 do những hạn chế của 24 ký tự ổ đĩa sẵn có và cho
phép mở rộng không gian ổ đĩa trên một volume sẵn có.
Khi bạn lựa chọn Mount In The Following Empty NTFS Folder (gắn vào
một thư mục NTFS rỗng) bạn phải trỏ tới thư mục rỗng nằm trên bất kỳ đĩa
NTFS còn lại trên hệ thống bằng cách gõ trực tiếp đường dẫn hoặc sử dụng
nút Browse. Ổ đĩa NTFS có thể là đĩa cơ bản hoặc đĩa động và không có hạn
chế về kiểu volume mà bạn có thể gắn. Ví dụ, bạn có thể gắn một striped
volume với một thư mục rỗng nằm trên một mirrorred volume hoặc bạn có
thể gắn một phân vùng trên đĩa cơ bản với một thư mục nằm trên RAID-5
volume. Mỗi volume sẽ duy trì hiệu năng và các tính năng chống lỗi của
riêng nó. Cũng không có hạn chế về hệ thống file của volume bạn gắn.
Volume được gắn có thể sử dụng FAT hoặc NTFS, chỉ có đĩa chứa thư mục
rỗng mà bạn gắn volume tới đó thì phải sử dụng hệ thống file NTFS.
Hình vẽ 12-8 biểu diễn một máy tính có một thư mục trên một đĩa được gắn
với một volume khác. Chú ý rằng thư mục sẽ xuất hiện trong kiến trúc phân
cấp của Explorer một cách chính xác theo đúng vị trí của nó trên ổ đĩa
nhưng với một biểu tượng của một ổ đĩa. Khi người sử dụng truy cập đến
thư mục, chúng sẽ được định hướng một cách trong suốt đến volume được
gắn.
một giá trị cao hơn. Còn đối với các file nhỏ, một giá trị nhỏ hơn là
phù hợp.
■ Volume Lable (nhãn của volume) xác định tên cho volume với
chiều dài tới 32 ký tự.
■ Perform a Quick Format (thực hiện định dạng nhanh) Lựa chọn
này cho phép trình hướng dẫn định dạng volume mà không cần
quét đĩa cứng để dò tìm các cung (sector) hỏng. Nếu trước đó đĩa
đã được định dạng và bạn chắc chắn rằng nó không có lỗi thì lựa
chọn này sẽ làm giảm đáng kế thời gian yêu cầu cho việc định
dạng.
■ Enable File and Folder Compression (cho phép nén file và thư
mục) Lựa chọn này làm cho tất cả các dữ liệu được lưu trên volume
này đều được nén. Để sử dụng tính năng này, volume phải được
định dạng theo chuẩn NTFS với kích thước đơn vị lưu trữ là 4 KB
hoặc nhỏ hơn.
Bạn cũng có thể định dạng một ổ đĩa tại bất kỳ thời điểm nào bằng cách lựa
chọn nó, trên thực đơn Action trỏ tới All Tasks và lựa chọn Format.
phiên làm việc của file, thay thế tự động các liên cung hỏng và lưu trữ các
khóa bí mật của tất cả các file trên volume NTFS. Với cơ chế này, NTFS
bảo vệ tính toàn vẹn của cấu trúc volume và siêu dữ liệu hệ thống (đây là dữ
liệu liên quan đến chính bản thân hệ thống file). Tuy nhiên dữ liệu người sử
dụng vẫn có thể bị hư hỏng và phân mảnh. Người sử dụng cũng có một thói
quen đó là lưu trữ một lượng lớn dữ liệu trên các volume mà họ truy cập.
Các phần dưới đây sẽ giải thích làm sao để duy trì tính toàn vẹn của các
volume, tối ưu hóa volume qua tiến trình chống phân mảnh và đặt các giới
hạn lưu trữ bằng cách sử dụng tính năng hạn ngạch đĩa.
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi
70-290 yêu cầu các học viên có khả năng “tối ưu hóa hiệu năng đĩa
trên máy chủ”
định là 4KB. Mỗi liên cung chỉ có thể chứa một file thậm chí nếu kích thước
của file đó nhỏ hơn kích thước của liên cung. Nếu một file có kích thước lớn
hơn kích thước liên cung, file sẽ được lưu trên nhiều liên cung khác nhau và
mỗi liên cung chứa một con trỏ chỉ đến phân đoạn kế tiếp của file. Khi có
một ổ đĩa mới, tất cả các liên cung là trống và khi các file được ghi vào ổ đĩa
nó sẽ có xu hướng chiếm dụng các liên cung kế tiếp nhau về mặt vật lý.
Nhưng khi các file bị xóa hoặc mở rộng và thu nhỏ lại kích thước, các liên
cung trống giờ đây không còn gần nhau về mặt vật lý nữa. Hiện tượng phân
mảnh các file sẽ làm giảm hiệu năng đọc và ghi do đầu đọc đĩa cứng phải di
chuyển tới nhiều vị trí khác nhau trên đĩa cứng.
Windows Server 2003 cung cấp một công cụ chống phân mảnh ổ đĩa giúp
bạn phân tích các volume và sắp xếp lại các liên cung sao cho các file được
đặt trên các không gian liền kề nhau. Công cụ chống phân mảnh đã được cải
thiện một cách đáng kể trong phiên bản Windows 2000. Giờ đây nó có thể
chống phân mảnh các volume có kích thước liên cung lớn hơn 4KB và có
thể chống phân mảnh bảng điều khiển file MFT (Master File Table). Bạn có
thể sử dụng công cụ này để chống phân mảnh bất kỳ volume nào trên đĩa
cứng cục bộ.
Để sử dụng công cụ Disk Defragmenter như hình vẽ 12-12 mở hộp thoại
Properties của một volume bằng cách sử dụng Windows Explorer hoặc Disk
Management, trong thẻ Tools nhấp vào Defragment Now. Bạn cũng có thể
mở Disk Defragmenter trong màn hình Computer Management hoặc trong
một màn hình MMC tùy biến, lựa chọn volume và nhấp vào Analyze. Công
cụ sẽ hiển thị một khuyến nghị dựa trên lượng phân mảnh mà nó phát hiện
ra. Công cụ này cũng khuyên bạn chạy Check Disk trên volume trước khi
thực hiện chống phân mảnh (đây luôn là một ý tưởng tốt).
các file xung quanh ổ đĩa với mục tiêu thu thập tất cả các liên cung của từng
file vào một khu vực kề nhau trên không gian đĩa cứng.
Để hoàn thành chống phân mảnh cho một volume, volume phải có ít nhất
15% không gian trống. Công cụ này sử dụng không gian này để sắp xếp các
file trong khi nó chống phân mảnh chúng. Nếu volume chứa nhiều file lớn
cần phân mảnh thì không gian trống này cần phải lớn hơn thì tiến trình
chống phân mảnh mới đạt hiệu quả. Nếu volume có ít hơn 15% không gian
trống thì volume sẽ chỉ có thể chống phân mảnh từng phần.
CHÚ Ý Mục tiêu của kỳ thi Các mục tiêu cho kỳ thi 70-290
yêu cầu các học viên có khả năng “chống phân mảnh các volume và
các phân vùng”
Hình 12-13 Thẻ Quota trên hộp thoại Properties của một volume
Nếu bạn lựa chọn hộp kiểm tra Deny Disk Space To Users Exceeding
Quota Limit (ngăn cấm không cho người sử dụng chiếm dụng không gian
đĩa cứng vượt quá ngưỡng hạn ngạch), người sử dụng nào chạm tới ngưỡng
lưu trữ sẽ bị cấm đưa thêm dữ liệu lên volume. Bất kỳ một cố gắng nào
nhằm ghi dữ liệu lên volume đều thất bại. Nếu bạn không lựa chọn hộp kiểm
tra này thì người sử dụng chỉ nhận được thông báo khi họ chạm ngưỡng
nhưng hệ thống sẽ không ngăn cản việc họ ghi tiếp dữ liệu lên volume.
lưu trữ mặc định, bạn lựa chọn Limit Disk Space To trên thẻ Quota và xác
định dung lượng lưu trữ lớn nhất dành cho mỗi người sử dụng. Bạn cũng có
thể xác định xem người sử dụng sẽ nhận được cảnh báo hay không khi họ
gần chạm ngưỡng giới hạn.
Cuối cùng, bạn có thể xác định các lựa chọn về file nhật ký cho phép trình
quản lý hạn ngạch đăng ký các sự kiện vào nhật ký hệ thống trong trình xem
các sự kiện (Event Viewer). Các sự kiện sẽ được ghi lại nhằm xác định
người sử dụng theo tên và xác định họ đã vượt quá mức cảnh báo hay mức
giới hạn. Các nhà quản trị có thể xem các mục vào này trong màn hình
Event Viewer.
Nhấp vào nút New Quota Entry trên thanh tác vụ hoặc lựa chọn New Quota
Entry từ thực đơn Quota và bạn có thể lựa chọn một hoặc nhiều người sử
dụng để tạo một mục vào hạn ngạch. Một khi bạn đã lựa chọn người sử
dụng, hộp thoại Add New Quota Entry xuất hiện như hình vẽ 12-15 ở đó
bạn xác định các ngưỡng lưu trữ và ngưỡng cảnh báo đối với người sử dụng
lựa chọn. Khi bạn tạo một bản ghi cho nhiều người sử dụng, mỗi người sử
dụng nhận ngưỡng xác định riêng rẽ.
TỔNG KẾT
■ Windows Server 2003 hỗ trợ hai loại lưu trữ: cơ bản và động cùng
với ba hệ thống file: FAT, FAT32 và NTFS. Hầu hết các đặc tính
quản trị lưu trữ tiên tiến chỉ sẵn sàng trên các volume trên đĩa động
và được định dạng theo chuẩn NTFS.
■ Các đĩa cơ bản và hệ thống file FAT cung cấp tinh tương thích với
các hệ điều hành Windows cũ nhưng bị hạn chế bởi dung lượng của
chúng. Một đĩa cơ bản có thể cấu hình lên tới bốn phân vùng của cả
hai loại: chính và mở rộng. Chỉ có một phân vùng mở rộng duy
nhất trên đĩa nhưng bạn có thể tạo nhiều ổ đĩa logic khác nhau tùy
theo nhu cầu của bạn.
■ Các đĩa động cung cấp các lựa chọn linh hoạt và mạnh mẽ trong các
cấu hình với yêu cầu nhiều hơn một đĩa. Một đĩa động chỉ có duy
nhất một phân vùng nhưng bạn có thể có tùy thích bao nhiêu
volume trên phân vùng đó.
■ Các đĩa cơ bản có thể chuyển đổi thành các đĩa động mà không mất
mát dữ liệu nhưng bạn sẽ mất tất cả dữ liệu và các volume sẽ bị xóa
khi thực hiện chuyển đổi một đĩa động thành một đĩa cơ bản.
■ Các đĩa động hỗ trợ các loại volume sau: simple, spanned, striped,
mirrored và RAID-5 cung cấp khả năng lưu trữ tùy thuộc vào dung
lượng, hiệu năng và khả năng chống lỗi.
■ Mirrored volume (RAID-1) cung cấp khả năng chống lỗi, nó duy
trì một phiên bản sao lưu trên cả hai đĩa. Các striped volume với bit
chẵn lẻ (RAID-5) sẽ đưa dữ liệu lên trên nhiều đĩa và sử dụng dữ
liệu chẵn lẻ. Các dữ liệu này được duy trì với mục đích tính toán dữ
liệu bị lỗi khi có một đĩa bị hư hỏng.
■ Các simple volume, spanned volume, striped volume (RAID-0) và
tất cả các ổ đĩa logic trên các đĩa cơ bản đều không có tính năng
chống lỗi. Tất cả dữ liệu sẽ bị mất đi nếu có bất kỳ đĩa nào bị lỗi.
Các volume này càng lớn hoặc nhiều đĩa vật lý hỗ trợ cho chúng thì
khả năng bị lỗi càng cao.
■ Để tạo và quản trị các đĩa cơ bảm và đĩa động, bạn sử dụng Disk
Management. Các công việc quản lý đĩa thông dụng gồm có tạo và
xóa các phân vùng, các volume và gán các ký tự ổ đĩa, các điểm
gắn kết.
Bài tập thực hành thực hành 12-1: Sử dụng Check Disk
Trong bài thực hành này, bạn sẽ sử dụng công cụ Check Disk để kiểm tra
điều kiện trên ổ C: máy tính của bạn.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài khoản
Administrator.
2. Nhấp Start, sau đó nhấp vào Windows Explorer.
3. Lựa chọn ổ đĩa C trong Windows Explorer và từ thực đơn File lựa
chọn Properties. Hộp thoại Local Disk (C:) Properties xuất hiện.
4. Lựa chọn thẻ Tools và nhấp vào Check Now. Hôp thoại Check Disk
Local Disk (C:) xuất hiện.
5. Lựa chọn các hộp kiểm tra Automatically Fix File System Errors và
Scan For And Attempt Recovery Of Bad Sector và nhấp Start. Một
hộp thông báo Checking Disk Local Disk (C:) xuất hiện ngụ ý rằng
Check Disk yêu cầu truy cập hoàn toàn đến ổ đĩa.
6. Nhấp Yes để lập lịch cho tiến trình kiểm tra đĩa tại lần kế tiếp khi bạn
khởi động lại máy tính.
7. Khởi động lại máy tính và theo dõi tiến trình kiểm tra đĩa xảy ra.
===============================================
Bài tập thực hành thực hành 12-2: Chống phân mảnh một đĩa
cứng
Trong bài thực hành này, bạn sẽ sử dụng công cụ Disk Defragmenter để
chống phân mảnh cho ổ đĩa C máy tính của bạn.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài
khoản Administrator.
2. Nhấp Start và nhấp Windows Explorer.
3. Lựa chọn ổ đĩa C trong Windows Explorer và từ thực đơn File
lựa chọn Properties. Hộp thoại Local Disk (C:) Properties xuất
hiện.
4. Lựa chọn thẻ Tools và nhấp vào Defragment Now. Màn hình
Disk Defragmenter xuất hiện.
5. Nhấp Analyze. Sau quá trình phân tích, một hộp thông báo Disk
Defragmenter xuất hiện xác định xem bạn có nên chống phân
mảnh ổ đĩa này không.
6. Bất kể những khuyến nghị của chương trình, nhấp Defragment
để bắt đầu tiến trình chống phân mảnh ổ đĩa. Khi tiến trình này
kết thúc, một thông báo khác xuất hiện cho phép bạn xem lại
báo cáo về quá trình hoạt động của quá trình.
===============================================
Bài thực hành 12-3: Cấu hình các hạn ngạch đĩa mặc định
Trong bài thực hành này, bạn sẽ cấu hình các hạn ngạch đĩa mặc định cho ổ
đĩa C máy tính của bạn.
1. Truy cập vào hệ điều hành Windows Server 2003 bằng tài
khoản Administrator.
2. Nhấp Start và nhấp Windows Explorer.
a. 5%
b. 10%
c. 15%
d. 25%
e. 50%
9. Bạn đang triển khai giải pháp RAID mềm trên máy tính Windows
Server 2003 của bạn. Bạn muốn cung cấp tính năng chống lỗi cho các
phân vùng hệ thống và khởi động. Bạn sẽ sử dụng phiên bản nào của
RAID?
a. RAID-0
b. RAID-1
c. RAID-5
d. Không thể sử dụng RAID mềm để bảo vệ phân vùng
khởi động
10. Bạn đang cài đặt một máy tính Windows Server 2003 và bạn muốn
bảo vệ dữ liệu trên đĩa cứng. Bạn muốn triển khai một giải pháp nhằm
cung cấp đĩa vào/ra nhanh nhất có thể và hỗ trợ thay thế nóng các đĩa
cứng. Giải pháp của bạn là gì?
a. RAID-0
b. RAID-1
c. RAID-5
d. RAID cứng
11. Bạn đang cài đặt RAID-5 trên máy tính Windows Server 2003. Bạn
lập kế hoạch sử dụng 5 đĩa cứng mỗi cái có dung lượng 20GB. Phần
trăm dung lượng dự phòng bạn có thể dự đoán trong cấu hình?
a. 20
b. 25
c. 33
d. 50
12. Bạn đang cài đặt RAID mềm trên máy tính Windows Server 2003
nhằm cung cấp tính năng chống lỗi cho dữ liệu lưu trữ trên đó. Máy
tính này có vai trò là máy chủ cơ sở dữ liệu trên mạng. Máy chủ này
thường thực hiện nhiều chức năng đọc nhưng lại khá ít chức năng ghi.
Bạn muốn có một giải pháp chống lỗi nhằm cung cấp hiệu năng cao
nhất. Bạn sẽ sử dụng giải pháp RAID nào?
a. RAID-0
b. RAID-1
c. RAID-5
13. Trên một máy tính bạn muốn triển khai RAID-5 có ba đĩa cứng mỗi
đĩa có 2GB không gian chưa sử dụng. Sử dụng màn hình Disk
Management, bạn khởi tạo New Volume Wizard bằng cách nhấp vào
một trong các vùng không gian đĩa cứng chưa sử dụng. Khi bạn tới
màn hình Select Volume Type, lựa chọn RAID-5 không được kích
hoạt. Lý do vì sao?
a. Đã triển khai RAID-5 cứng
b. Một hoặc hai đĩa cứng được cấu hình ở cơ chế lưu trữ cơ
bản
c. Cả ba đĩa cứng được cấu hình ở cơ chế lưu trữ động
d. Cả ba đĩa cứng được cấu hình ở cơ chế lưu trữ cơ bản
e. Đã triển khai RAID-5 mềm
Tất cả người sử dụng đều có quyền Read đối với thư mục của phòng và có
quyền Read/Write đối với thư mục chứa tài liệu làm việc nhóm. Ngoài ra,
mỗi người sử dụng có toàn quyền đối với thư mục dữ liệu cá nhân của mình.
Duy nhất chỉ có mình anh ta mới có quyền trên thư mục của mình, những
người sử dụng khác không có bất kỳ quyền nào trên đó. Hệ thống 05 thư
mục chia sẻ này làm việc tốt và tất cả các nhân viên trong công ty đều hiểu
cấu trúc lưu trữ và tìm kiếm tài liệu.
Có một vấn đề trong tiến trình phát triển đó là dữ liệu người sử dụng trên 05
thư mục chia sẻ của các phòng phát triển quá nhanh làm cho đĩa lưu trữ dữ
liệu này hầu như đầy. Vấn đề này buộc Minh phải triển khai một giải pháp
nhằm giải quyết lỗi này. Mục tiêu chính của anh ta là thêm không gian cho
mỗi chia sẻ để đảm bảo rằng đĩa lưu trữ các thư mục chia sẻ này không bị
đầy.
Anh ta cũng nhận được yêu cầu từ phía giám đốc, như là một mục tiêu thứ
yếu, cần phải đảm bảo các vấn đề sau:
■ Chỉ giữ 05 thư mục chia sẻ và đảm bảo thư mục dữ liệu người sử
dụng là ngoài mỗi chia sẻ mức phòng.
■ Cung cấp tính năng chống lỗi cho các file được chia sẻ
■ Giữ nguyên cơ chế bảo mật hiện tại đang sử dụng vì vậy những
người sử dụng riêng lẻ có toàn quyền điều khiển với thư mục của
họ và những người sử dụng khác không thể truy cập được.
Để đạt được mục tiêu này, Minh tiến hành các công việc sau. Trong quãng
thời gian lập lịch sau nửa đêm, khi không có người sử dụng nào kết nối tới
máy chủ anh ta tiến hành tắt máy chủ và cài đặt năm đĩa cứng mới có dung
lượng 100 GB trên đó. Kế đó anh ta định dạng mỗi đĩa như một volume với
hệ thống file NTFS và tạo ra một thư mục mới có tên Temp trên mỗi thư
mục lưu trữ các chia sẻ của từng phòng. Lần lượt từng cái một, anh ta gắn
kết năm đĩa cứng với mỗi thư mục Temp sao cho mỗi thư mục này trỏ tới
một đĩa cứng của riêng chúng. Sau đó anh ta chép dữ liệu của thư mục dữ
liệu người sử dụng vào thư mục Temp trên mỗi chia sẻ và kế đó anh ta xóa
thư mục dữ liệu gốc. Cuối cùng, Minh đổi tên thư mục Temp thành tên của
thư mục dữ liệu người sử dụng.
Với giải pháp nói trên, theo bạn Minh có thể đạt được những mục tiêu nào?
a. Anh ta không đạt được bất kỳ mục tiêu chính nào nhưng lại đạt được
tất cả các mục tiêu do giám đốc đưa ra.
b. Anh ta đạt được mục tiêu chính và một mục tiêu thứ yếu.
c. Anh ta đạt được mục tiêu chính và hai mục tiêu thứ yếu.
d. Anh ta đạt được tất cả các mục tiêu chính và mục tiêu thứ yếu.
e. Anh ta không đạt được mục tiêu nào cả.
khách Một loại giấy phép cho thường trình thực hiện các chức
phép người dùng hay thiết bị năng chuyên biệt của thiết bị để
kết nối tới sản phầm máy chủ trợ giúp cho các hoạt động
để thực hiện các chức năng sử vào/ra của nó.
dụng các thành phần máy chủ, differential backup Sao lưu
bao gồm các dịch vụ file, in ấn, Sai khác (vi sai) Một kiểu sao
xác thực. Các truy nhập không lưu có sử dụng bộ lọc sao cho
xác thực thông qua Internet chỉ các file đã thay đổi sau lần
không yêu cầu có giấy phép sao lưu toàn phần gần nhất
này. được sao lưu. Kiểu sao lưu này
commit memory Bộ nhớ cam chỉ sao lưu các file có bit lưu
kết Lượng bộ nhớ được đặt sẵn trữ được kích hoạt và không
cho các chương trình người thay đổi giá trị bit sao lưu của
dùng và hệ thống. file. Sao lưu Sai khác yêu cầu
computer object Đối tượng nhiều không gian lưu trữ hơn so
Máy tính Một kiểu đối tượng với kiểu Sao lưu Tăng lên do
Active Directory đại diện cho các file có thay đổi sẽ được sao
mọt máy tính cụ thể trong lưu trong tất cả các lần thực
Miền. đối tượng này bao gồm hiện kiểu sao lưu này cho đến
Tài khoản Máy tính, giúp hệ lần thực hiện Sao lưu Toàn
thống có thể thiết lập kênh bảo phần kế tiếp. Tuy nhiên, kiểu
mật giữa Máy tính và Máy chủ sao lưu này giúp thực hiện việc
Điều khiển Miền, và các thông phục hồi dễ dàng và nhanh
tin về máy tính. chóng hơn do chỉ cần một bản
sao lưu toàn phần và một bản
container object Đối tượng sao lưu sai khác gần nhất là đủ.
chứa Một loại đối tượng
Active Directory có thể chứa Xem thêm incremental
trong nó các đối tượng khác. backup.
phép xem trực tiếp các cấp Miền, Site, hay đối tượng OU
phép có hiệu lực đối với Chủ (organizational
thể Bảo mật khi thực hiện chức unit).
năng truy cập đến tài nguyên.
host header Tiêu đề Máy chủ
Forest Rừng một nhóm các cây Một phương pháp dùng để phân
Active Directory sử dụng các biệt các Web Site chạy trên một
khoảng không gian tên khác máy chủ khi nó chỉ sử dụng
nhau. một địa chỉ IP và một số hiệu
forest functional level Cấp cổng. Bằng việc xác định tên
Chức năng Rừng Một thiết lập của máy chủ Web (Tiêu đề
xác định các chức năng Active Máy chủ) trong yêu cầu HTTP,
Directory nào là có thể thực máy chủ Web có thể chuyển
hiện trong rừng. nâng cấp chức tiếp mỗi yêu cầu trên tới một
năng rừng không ảnh hưởng Web Ste tương ứng.
đến các hoạt động của nhóm hotfix Bản sửa lỗi nóng Một
Active Director. miếng vá hay bản cập nhật cho
Fragmentation Phân mảnh các sản phẩm của Microsoft để
Một trạng thái của đĩa có chứa khắc phục một vấn đề đã nêu
các file được lưu trữ trên nhiều trong một bài liên quan tại
liên cung cách xa nhau. Do đầu Microsoft Knowledge Base
đọc phải di chuyển trên toàn bộ (một dạng tập san các kiến thức
đĩa để đọc các thông tin của từ Microsoft). Bản sửa lỗi nóng
một file nên hiệu năng chung sẽ đuợc áp dụng cho các máy tính
giảm. có thực hiện một số tác vụ nhất
global group Nhóm Toàn cục định hay đã gặp phải các vấn đề
Một loại phạm vi nhóm Active tương tự như bài báo đã chỉ ra..
Directory được sử dụng thông incremental backup Sao lưu
dụng nhất cho việc cấp phép Tăng lên Một kiểu sao lưu có
cho các đối tượng thư mục có sử dụng bộ lọc sao cho chỉ thực
yêu cầu thường xuyên bảo trì, hiện sao lưu với các file đã bị
như tài khoản người dùng, máy thay đổi từ lần sao lưu trước.
tính. Bộ lọc sẽ đánh giá bít lưu trữ
GPO Xem group policy object của mỗi file và chỉ sao lưu các
(GPO). file nào có bít lưu trữ được kích
hoạt. Sao lưu Tăng lên sẽ sửa
group policy object (GPO) lại giá trị bit lưu trữ sau mỗi lần
Đối tượng Chính sách Nhóm sao lưu (không giống như Sao
Một tập hợp của các thiết lập lưu Sai khác, chúng không sửa
chính sách nhóm áp dụng trên bit lưu trữ). Kiểu sao lưu này
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
575
THUẬT NGỮ
phép cho phép trao quyền cho nhất cùng kết nối tới mỗi máy
một người dùng (có thể sử dụng chủ tại một thời điểm..
nhiều thiết bị) hoặc cho một Plug and Play (PnP) Cắm và
thiết bị (có thể có nhiều người Chạy Một tiêu chuẩn xác định
dùng) được truy cập đến bất cứ các đặc tính của các thành phần
sản phẩm máy chủ nào. máy tính cho phép việc tự động
performance counter Biến phát hiện và cấu hình các thành
đếm Hiệu năng một loại báo phần phần cứng này.
cão dữ liệu liên quan đến đối PnP Xem Plug and Play
tượng hiệu năng. (PnP).
performance instance Trường print queue Hàng đợi in Một
hợp riêng hiệu năng Một sự danh sách các tác vụ in đang
kiện riêng của biến đếm hiệu đợi để được chuyển sang máy
năng. Nếu máy chủ có bốn bộ in vật lý.
vi xử lí, chúng ta sẽ có bốn
trường hợp riêng cho mỗi biến print server Máy chủ in ấn
đếm hiệu năng của đối tượng Máy tính được cấu hình để chia
bộ vi xử lí, được đánh số từ 0 sẻ máy in với các máy trạm trên
đến 3. mạng. Máy chủ in ấn sắp xếp
các tác vụ in nó nhận được từ
performance object Đối tượng máy khách và lần lượt chuyển
Hiệu năng Một tập hợp logic các tác vụ này tới máy in vật lý.
của các mục dữ liệu báo cáo
hoặc các biến đếm liên kết với RAID-5 volume Ổ logic
tài nguyên, dịch vụ hay ứng RAID-5 Ổ đĩa logic trên đó dữ
dụng được theo dõi. liệu được ghi cùng lúc trên
nhiều ổ cứng vật lý (từ 3 đến 32
Per Server licensing mode ổ) với cùng tốc độ kèm theo
Chế độ giấy phép theo máy thông tin chẵn lẻ nhằm cung
chủ Yêu cầu giấy phép sẽ được cấp khả năng chóng lỗi khi ổ
cấp khi người dùng hay thiết bị logic bị hỏng một ổ đơn. Cấu
kết nối tới máy chủ hay các sản hình ổ nói trên cung cấp hiệu
phẩm máy chủ. Khi người dùng năng đọc tốt và sử dụng tiết
ngắt kết nối, giấy phép lại được kiệm dung lượng ổ đĩa, nhưng
trả lại vào nhóm giấy phép có tốc độ ghi không tốt và tiêu tốn
thể cấp, sẵn sàng cấp cho các tài nguyên bộ vi xử lí nhiều hơn
người dùng hay thiết bị khác. do việc phải tính toán thông tin
Chế độ này yêu cầu một số chẵn lẻ trong quá trình ghi.
lượng giấy phép đủ để hỗ trợ
cho số lượng người dùng lớn roaming user profile Khái
lược Người dùng Di trú Một
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
578
THUẬT NGỮ
loại khái lược người dùng dựa SID Xem security identifier
trên máy chủ, được lưu trên ổ (SID).
đĩa chia sẻ trên mạng mà người simple volume Ổ logic đơn
dùng có thể truy nhập từ bất cứ giản Tương dương với khái
máy tính nào. niệm phân vùng trong đĩa cơ
scope pane Khung phạm vi bản. ổ này chỉ nàm trên một ổ
khung bên trái trong của sổ cứng vật lý do vậy không có
MMC, hiển thị các snap-in đã khả năng chịu lỗi.
được cài đặt trong bảng điều slipstreaming Quá trình tích
khiển. hợp các service pack và/hoặc
security group Nhóm Bảo mật các bản sửa lỗi nóng vào bộ cài
Một kiểu nhóm Active đặt hệ điều hành Windows.
Directory được sử dụng như snap-in Một module ứng dụng
các chủ thể bảo mật trong các có mục dích đặc biệt dùng để
Danh sách Kiểm sóat Truy chạy trong các MMC. Có hai
nhập (ACL). loại snap-in, độc lập
security identifier (SID) mã (standalone) – có thể thêm trực
nhận dạng bảo mật Một giá trị tiếp vào MMC và mở rộng
duy nhất được gán cho mỗi đối (extension) – nhất thiết phải gắn
tựong Active Directory khi với một Snap-in độc lập.
chúng được tạo ra. spanned volume Ổ logic mở
security principal Chủ thể rộng Một ổ đĩa logic bao gồm
Bảo mật Người/Đối tượng sở các khoảng không gian trên
hữu tai khoản được gán mã nhiều đĩa cứng. do dung lượng
nhận dạng bảo mật một cách tự lớn cũng như gồm nhiều đĩa
động để có thể truy cập đến các cứng nên loại ổ này rất dễ hỏng
tài nguyên. Chủ thể bảo mật có và là không chịu lỗi.
thể là người dùng, nhóm, máy special permission Cấp phép
tính hay dịch vụ Đặc biệt thành phần cung cấp
service pack Gói dịch vụ một cho các chủ thể bảo mật các
tập hợp các miếng vá và các mức độ truy cập chi tiết hơn
bản cập nhật cho một sản phẩm đến các tài nguyên.
của Microsoft đã được thử standard permission Cấp
nghiệm cùng nhau và được phép tiêu chuẩn Một tập hợp
khuyến cáo cài đặt lên tất cả các cấp phép xác định được sử
các máy tính chạy sản phẩm nói dụng để cung cấp cho các chủ
trên. thể bảo mật với mức độ sử